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Введение 


Нельзя изучить систему Гіпих, не начав в ней работать. 

Я пришел к такому выводу, более 20 лет обучая людей работе в Глпих. Недо- 
статочно просто прочитать книгу или прослушать лекцию. Вам нужен кто-то, кто 
будет направлять вас, и необходимо попробовать все сделать самому. 

В 1999 году я написал свою первую книгу по Піпих — Вей Наѓ Глпих Ве. 
Ее громный успех дал мне возможность стать полноценным независимым автором 
книг о Ппих. В течение примерно десяти лет я написал десятки книг и исследовал 
лучшие способы изучения этой системы в тишине маленького домашнего офиса. 

В 2008 году я устроился в компанию Кеа Наї, Ірс. в качестве штатного консуль- 
танта, обучающего профессиональных системных администраторов Шіпих с серти- 
фикатом Кеа Нас Сегийеа Епеіпеег (КЁНСЕ). За три года работы там я оттачивал 
свои навыки преподавания перед живой аудиторией, чей опыт использования си- 
стемы варъировался от нулевого до уровня опытного профессионала. Со временем 
я смог расширить собственные знания о Глпих, получив более десяти сертификатов, 
включая сертификат Кеа Наё Сегийе4 Агсһіќесї (ВНСА). 

В первом издании этой книги я изложил весь свой опыт преподавания, чтобы 
позволить новичкам в Глпах с базовыми навыками вырасти до профессионалов. 
Навыки, которые позволяло получить предыдущее издание, можно получить и по 
прочтении нынешнего. 


® От новичка до сертифицированного профессионала. Если вы пользуетесь 
компьютером, мышью и клавиатурой, можете начать с этой книги. Я расскажу, 
как загрузить систему Шпих, начать применять ее, изучить важные темы и в ко- 
нечном итоге научиться администрировать и защищать ее. 


® Системное администрирование. Прочитав эту книгу, вы будете знать, как ис- 
пользовать, модифицировать и поддерживать систему Гтих. Почти все темы, 
необходимые для того, чтобы стать сертифицированным инженером Кеа Нав, 
в ней представлены. Многие разработчики программного обеспечения также 
изучали эту книгу, чтобы понять, как работать с системой Глпих в качестве 
платформы разработки или цели их приложений. 


® Акцент на инструментах командной строки. Несмотря на то что в последние 
годы интерфейсы управления Глпих значительно улучшились, многие расши- 
ренные функции можно применить только путем ввода команд и редактиро- 
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вания файлов конфигурации вручную. Я научу вас профессионально работать 
с командной строкой Глпих, сравнивая при этом функции оболочки с графиче- 
скими инструментами для выполнения одних и тех же задач. 


ө Нацеленность на меньшее количество дистрибутивов Глпих. В предыдущих 
изданиях я описал около 18 различных дистрибутивов Г4пих. За несколькими 
заметными исключениями, большинство популярных дистрибутивов Глпих ос- 
нованы либо на Вей Наб (Кеа Нас Ещегризе Глпих, Еейога, Сет О$ и т. д.), либо 
на ОеЫап (ОБипба, Глпах Міпё, КМОРРИХ ит. д.). Эта книга наиболее подробно 
описывает дистрибутивы Кеа Наї, но я добавил и информацию о дистрибутиве 
ОБипи, потому что именно его используют самые большие поклонники Гіпих. 


® Большое количество примеров и упражнений. Вместо того чтобы просто рас- 
сказывать вам, как работает Глпих, я показываю это на примерах. Затем, чтобы 
усвоить знания, можете выполнить упражнения самостоятельно. Каждая ин- 
струкция и каждое упражнение протестированы в системах Ееога или Кеа Наё 
Ещегри!е Глпих. Большинство из них работают и в системе ОБипќи. 


Основные усовершенствования десятого издания предусматривают акцент на 
упрощенном администрировании пих, автоматизации задач и управлении кон- 
тейнерными приложениями (индивидуально или в масштабе организации). 


ө Веб-интерфейс администрирования СосКрі. С момента создания [іпих поль- 
зователи пытались разработать простые графические или браузерные интер- 
фейсы для управления системами Глпих. Я считаю, что Соскріё — это лучший 
веб-интерфейс, когда-либо созданный для управления большинством основных 
функций Глпих. Во всей книге я заменил большинство описаний инструментов 
зузет-соп#15* описаниями Соскри. С помощью СоскрЁ вы можете добавлять 
пользователей, управлять хранилищем, отслеживать действия и выполнять 
многие другие административные задачи через единый интерфейс. 


ө Переход к облачным технологиям. Введя понятие облачных технологий 
в предыдущем издании, здесь я расширил его. Сюда относятся настройка 
собственного хоста Глпих для запуска виртуальных машин и запуск Глпих в об- 
лачной среде, такой как Атахоп Мер Ѕегуісеѕ. [лпих сегодня находится в центре 
большинства технологических достижений в области облачных вычислений. 
Это значит, что вам нужно глубоко понимать систему, чтобы эффективно ра- 
ботать в центрах обработки данных будущего. В начале этой книги я помогу 
изучить основы іпих. А в последних главах продемонстрирую, как настроить 
системы Глпих в качестве гипервизоров, облачных контроллеров и виртуальных 
машин, а также управлять виртуальными сетями и сетевым хранилищем. 


ө АпѕіЫе. Автоматизация задач управления системами становится все более 
актуальной в современных центрах обработки данных. Используя АпзЫе, вы 
можете создавать каталоги, которые определяют состояние системы Глпих. Они 
включают в себя настройку установленных пакетов, запущенных служб и ком- 
понентов. Такой каталог поможет настроить одну систему или 1000 систем, он 
может быть объединен в набор системных служб и запущен для того, чтобы 
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вернуть систему в определенное состояние. В этом издании я познакомлю вас 
с АпѕіЫе, помогу создать свой первый каталог АпяЫе и покажу, как запускать 
специальные команды Ап е. 


Контейнеры. Упаковка и запуск приложений в контейнерах становится предпо- 
чтительным методом развертывания небольших масштабируемых программных 
служб и функций, управления ими и их обновления. В книге я описываю, как 
добавлять контейнеры в систему, запускать и останавливать их и даже создавать 
собственные образы контейнеров с помощью команд роатап и досКег. 


Киђегпеѓеѕ и Ореп5Ый. Хотя контейнеры хороши сами по себе, чтобы иметь 
возможность развертывать контейнеры, управлять ими и обновлять их на 
крупном предприятии, нужна платформа оркестрации. Проект Кибегпефез 
предоставляет эту платформу. Для коммерческой поддерживаемой платформы 
КиБегпеѓеѕ можно применять ОрепЗ ЫЩ. 


Структура книги 


Книга позволяет изучить систему Глпих с начального уровня и довести свои навыки 
до уровня опытного пользователя и системного администратора. 


Часть І «Начало работы» содержит две главы, объясняющие, что такое Глпих 


и как начать работу с системой. 


Глава 1 «Начало работы в [лпих» описывает, что такое система Глпих, как она 
появилась и как начать работу с ней. 


В главе 2 «Идеальный рабочий стол в Ііпих» рассказывается, как создать иде- 
альный настольный компьютер с помощью популярных функций системы. 


Часть П «Опытный пользователь Г4лпих» разбирает в деталях функции ко- 


мандной оболочки Глпих, файловой системы, управления текстовыми файлами 
и другими процессами, а также применение скриптов оболочки. 


Глава 3 «Использование оболочки» описывает, как установить командную 
оболочку, запускать и отменять команды (с помощью истории действий), на- 
строить автозаполнение команд. Здесь также рассказывается, как работать 
с переменными, псевдонимами (ярлыками) и справочниками (традиционные 
в іпих справочные страницы команд). 


Глава 4 «Файловая система» включает в себя описание команд для перечисле- 
ния, создания, копирования и перемещения файлов и каталогов. Здесь расска- 
зывается о том, как обеспечить безопасность файловой системы, то есть о праве 
собственности, запретах и списках доступа. 


В главе 5 «Работа с текстовыми файлами» рассматривается все, что касается 
работы с текстом, — от базовых текстовых редакторов до поиска файлов и текста 
в самих файлах. 
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Глава 6 «Управление активными процессами» рассказывает, как посмотреть, 
какие процессы запущены в системе и как их сменить (с помощью команд К111, 
раизе и др.). 

В главе 7 «Простые скрипты оболочки» описаны команды и функции оболочки, 
которые можно объединить в файл-команду. 


Часть Ш «Администрирование системы в Шіпих» рассказывает о том, как управ- 


лять системами Шпих. 


Глава 8 «Системное администрирование» дает полную информацию о базовых 
графических инструментах, командах и конфигурациях для управления си- 
стемами Глпих. Подробно описан инструмент СосКкріё хуеЬ ОТ, созданный для 
упрощенного мониторинга и администрирования. 


В главе 9 «Установка Глпих» рассказывается об общих деталях установки 
системы, о разделе дисков и выборе начального программного обеспечения, 
а также о более продвинутых инструментах установки, к примеру о файлах 
Кіскѕѓаге. 


Глава 10 «Управление программами» объясняет, как работают пакеты про- 
граммного обеспечения и как ими управлять. 


Глава 11 «Управление учетными записями» рассказывает об инструментах 
добавления и удаления пользователей и групп, а также об общем управлении 
учетными записями. 


В главе 12 «Управление дисками и файлами» приведена информация о разде- 
лении дисков, создании и редактировании файловых систем, а также о системе 
управления томами. 


Часть ІУ «Администрирование серверов в іпих» поможет создать мощную 


систему серверов с помощью определенных инструментов. 


Глава 13 «Администрирование серверов» объясняет процессы удаленного сбора 
логов и загрузки іпих, а также работу инструментов мониторинга. 


В главе 14 «Администрирование сети» рассматривается настройка сетей. 


Глава 15 «Запуск и остановка служб» рассказывает, как запускать и останав- 
ливать службы. 


Глава 16 «Настройка сервера печати» описывает, как добавить принтеры к ло- 
кальной системе Глпах или к сети, объединяющей несколько компьютеров. 
Глава 17 «Настройка веб-сервера» рассматривает настройку веб-сервера Арасће. 


Глава 18 «Настройка ЕТР-сервера» рассказывает о том, как настроить сервер 
уѕЕёра, который позволяет другим пользователям скачивать файлы из системы 
Тапах по сети. 


Глава 19 «Настройка Ѕатђа-сервера» описывает настройку файлового обмена 
между системами \/ш4о\з и пих через сервер Ѕатђа. 
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® Глава 20 «Настройка МЕ$-сервера» объясняет, как задействовать функции 
сетевой файловой системы для передачи папок с файлами между разными 
системами по сети. 


® В главе 21 «Диагностика [Гпих» рассказывается о популярных инструментах 
для диагностики системы Гших. 


В части У «Методы обеспечения безопасности в Глпих» вы узнаете, как обеспе- 
чить безопасность в системах и службах Глпих. 


® Глава 22 «Базовые методы обеспечения безопасности» рассказывает об основ- 
ных принципах и методах защиты системы. 


® Глава 23 «Продвинутые методы обеспечения безопасности» дает информацию 
об использовании модулей Раосае Аифепсайоп Мойшеѕ (РАМ) и крипто- 
графии для обеспечения безопасности системы и аутентификации. 


® Глава 24 «Повышенная безопасность с технологией $Е11іпих» рассказывает, 
как подключить технологию Ѕесигіќу Епһапсеа Піпих ($Е1 пих) для лучшей 
защиты системы. 


® Глава 25 «Защита Глпих в сети» объясняет, как обеспечить защиту системы 
с помощью функций +1гема114 и ірёаб1еѕ. 


Часть УІ «Работа с облачными вычислениями» переходит от разбора системы 
к контейнеризации, облачным вычислениям и автоматизации. 


® Глава 26 «Работа с облаками и контейнерами» описывает, как помещать данные 
в контейнеры, перемещать их, запускать, останавливать, помечать и создавать 
образы контейнеров. 


® Глава 27 «Облачные вычисления в системе Піпих» объясняет принципы об- 
лачных вычислений в Ілпих, описывая, как настроить гипервизоры, создать 
виртуальные машины и совместно использовать ресурсы по сети. 


® Глава 28 «Развертывание приложений Глпих в облаке» описывает, как развер- 
тывать образы Глпих в различных облачных средах, включая ОрепЅќасК, Ата7оп 
ЕС2, а также в локальной системе визуализации Гіпих. 


® Глава 29 «Автоматизация приложений и инфраструктуры с помощью системы 
Апз1е» рассказывает о создании каталогов и запуске специальных команд 
Ап$1Ые для автоматизации настроек систем Глпах и других устройств. 


® Глава 30 «Развертывание приложений в контейнеры с помощью кластера 
КиБегпеѓеѕ» описывает принцип работы кластера Киђегпеѓеѕ и его использо- 
вание для организации образов контейнеров, позволяя выполнять массовое 
масштабирование в центрах обработки данных. 


Последняя часть содержит два приложения, которые помогут получить максимум 
от изучения систем Глпих. Приложение А содержит рекомендации по загрузке дис- 
трибутивов Глпах. Приложение Б содержит ответы для упражнений из глав 2—30. 
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Условные обозначения 


На протяжении всей книги код и команды выделяются моноширинным шрифтом: 
Вот так выглядят листинги кода. 

Если пример включает в себя как ввод, так и вывод, также используется моно- 
ширинный шрифт, но ввод обозначен полужирным шрифтом, например: 


$ ЕЕр ҒЕр.һапаѕопһіѕ+огу. сот 
Мате (поме:)акКе): јаке 
Раѕѕмога: ****** 


Что касается оформления текста. 


® Новые термины и важные слова выделяются курсивом. 


® Сочетания клавиш выглядят следующим образом: Сі1+А. Это обозначение ука- 
зывает, что нужно нажать и удерживать клавишу Сі и в этот момент нажать 
клавишу А. 


® Имена файлов и код в тексте выглядят следующим образом: рег$1$4епсе.рго- 
регЕ1е$. 


® ОКІ-адреса выделены вот таким шрифтом. 


Следующие блоки текста привлекают ваше внимание к особенно важным мо- 
ментам. 


ПРИМЕЧАНИЕ 


В примечании содержится дополнительная информация, на которую следует обратить особое внимание. 


СОВЕТ 


В таком блоке описывается интересный способ выполнения конкретной задачи. 


ВНИМАНИЕ 


Предупреждает вас о необходимости соблюдать особую осторожность при выполнении действий, так как это мо- 
жет привести к повреждению оборудования или программного обеспечения компьютера. 


Переход к Шпих 


Если вы новичок в [лпих, вы можете смутно представлять, что это за система и от- 
куда она взялась. Возможно, вы слышали что-то о том, что эта система бесплатна 
или открыта. Прежде чем начать работать с Глпих (что будет довольно скоро), 
в главе 1 найдите ответы на вопросы о ее происхождении и функциях. 
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Потратьте время и поработайте над этой книгой, чтобы быстро освоиться 
в іпих и понять, как можно заставить систему работать в соответствии со своими 
потребностями. Можете считать это приглашением сделать первый шаг к тому, 
чтобы стать экспертом по работе в Глпих! 


От издательства 


Ваши замечания, предложения, вопросы отправляйте по адресу сотр@рйегсот 
(издательство «Питер», компьютерная редакция). 

Мы будем рады узнать ваше мнение! 

На сайте издательства ммлу.ріќегсот вы найдете подробную информацию о на- 
ших книгах. 


Часть 1 
Начало работы 


В этой части 


ш Глава 1. Начало работы в Шпих. 
= Глава 2. Идеальный рабочий стол в Шпих. 


Начало работы 
в пих 


В этой главе 


Что такое Мпих. 


ш Как появилась система Мпих. 

ш Выбор дистрибутивов Ипих. 

и Профессиональные возможности в Ипих. 
и Сертификация специалистов в Ипих. 


Война операционных систем (ОС) окончена, Глпих победила. Проприетарные 
(закрытые) операционные системы попросту не успевают за Глпих, качественное 
улучшение которой выполняется с большой скоростью и обеспечивается благо- 
даря взаимодействию разработчиков и внедрению инноваций. Даже Стив Балмер, 
бывший генеральный директор МісгоѕоЁс, который однажды сравнил Гіпих с ра- 
ковой опухолью, теперь считает, что она справляется с облачными вычислениями 
в Мггозой Алтиге гораздо лучше, чем \Ла4о\\. 

Система Глпих — это одно из важнейших технологических достижений века. 
Она влияет на развитие Интернета и является технологией, которая обеспечивает 
поддержку целого ряда устройств, управляемых компьютерами. К тому же раз- 
работка Глпих стала примером того, что совместные проекты могут дать гораздо 
более значительный результат, чем индивидуальная работа отдельных людей или 
компаний. 

Компания Соозе использует тысячи и тысячи серверов Глпах для поддержания 
своей поисковой системы. Ап4го!4-устройства компании Соое базируются на 
системе Глпих. Браузер Соозе Сһготе ОЅ поддерживается операционной систе- 
мой Ипих. 

Компания ЕасерооКк развертывает свой сайт, задействуя так называемый 
стек ГАМР (система Глпих, веб-сервер Арасће, база данных Му5ОТ, и язык веб- 
сценариев РНР) — это все проекты с открытым исходным кодом. Фактически 
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Еасероок задействует доступную для всех модель разработки с открытым исходным 
кодом приложений и инструментов. Эта модель помогает Еасефоок быстро исправ- 
лять ошибки, получать содействие пользователей со всего мира и развиваться по 
экспоненте. 

На Гпах полагаются финансовые организации, которые тратят триллионы 
долларов на улучшение производительности и безопасности своих операционных 
систем. К ним относятся Нью-Йоркская фондовая биржа, Чикагская товарная 
биржа и Токийская фондовая биржа. 

Сегодня облачная технология по-прежнему остается одной из самых популяр- 
ных тем, однако не все знают, что Глпих и другие технологии с открытым исходным 
кодом — это основа величайших облачных инноваций. Любой компонент про- 
граммного обеспечения, необходимый для разработки приватного или публичного 
облачного инструмента (например, гипервизоров, облачных контроллеров, сетевых 
хранилищ, виртуальных сетей и служб аутентификации), можно свободно полу- 
чить в мире открытого исходного кода. 

Широкое распространение Глпих во всем мире сформировало огромный спрос 
на экспертов и специалистов в области Гіпих. Эта глава поможет понять, что такое 
Тіпих, откуда взялась эта система и как можно стать настоящим профессионалом 
в данной области. 

В дальнейшем в книге описываются практические знания, которые нужно 
освоить на этом пути. И наконец, я покажу, как применить свои знания в облачных 
технологиях, включая инструменты автоматизации, например АпѕіЫе, а также 
технологии оркестрации контейнеров, такие как Кирегпеез и Ореп5 И. 


Что такое система Шпих 


Глпих — это компьютерная операционная система. В операционной системе со- 
держится программное обеспечение, которое позволяет управлять компьютером, 
устанавливать и запускать приложения. Перечислим функции Шпих и аналогич- 
ных операционных систем. 


ө Обнаружение и подготовка оборудования. При загрузке системы (во время 
включения компьютера) пих анализирует подключенные компоненты ком- 
пьютера (процессор, жесткий диск, сетевую карту ит. д.) и загружает программ- 
ное обеспечение (драйверы и модули), необходимое для их работы. 


е Управление процессами. Операционная система должна отслеживать большое 
количество одновременно протекающих процессов и выбирать, для каких при- 
менять процессор и когда. Система также должна предлагать несколько путей 
запуска, остановки и смены состояния процессов. 


® Управление памятью. Оперативная память и раздел подкачки (расширенная 
память) должны выделяться для приложений по мере необходимости. Операци- 
онная система определяет, как обрабатывать запросы на использование памяти. 


38 Часть Г » Начало работы 


ө Обеспечение пользовательского интерфейса. Операционная система должна 
обеспечивать способы доступа к системе. Первые системы Глпих были доступны 
из интерпретатора командной строки, называемого оболочкой. Сегодня широко 
применяются графические интерфейсы для рабочего стола. 


® Управление файловыми системами. Структуры файловой системы встроены 
в операционную систему (или загружаются в виде модулей). Операционная 
система управляет правом собственности на файлы и каталоги (папки), содер- 
жащиеся в файловых системах, и доступом к ним. 


ө Обеспечение доступа и аутентификации пользователей. Основная функция 
Піпих — это создание учетных записей и разграничение пользователей. Отдельные 
учетные записи позволяют пользователям управлять собственными файлами 
и процессами. 


е Администрирование процессов. В Глпих доступны сотни, а может, тысячи 
консольных и графических инструментов для выполнения таких задач, как 
добавление пользователей, управление дисками, мониторинг сети, установка 
программного обеспечения, а также защита компьютера и управление им (по- 
следнее обязательно). Имея инструменты с веб-интерфейсом, такие как СосКрії, 
выполнять сложные административные задачи стало проще. 


® Запуск служб. Работающие в фоновом режиме процессы — так называемые 
демоны (Чаетоп) — ожидают событий, чтобы при необходимости применять 
принтеры, обрабатывать журналы сообщений и запускать различные системные 
и сетевые службы. В Шіпих работает множество служб. Операционная система 
позволяет выбрать способ запуска и остановки таких служб. Другими словами, 
Глпих использует браузеры для просмотра веб-страниц, и также может само- 
стоятельно обслуживать просмотр веб-страниц для других пользователей. К по- 
пулярным серверным функциям относятся серверы БД, почтовые, файловые, 
веб-, 0М8-, ОНСР-серверы и серверы печати. 


® Инструменты программирования. В Глпих доступно множество программных 
утилит для создания приложений и библиотек, а также для реализации специа- 
лизированных интерфейсов. 


Пользователю системы Глпих необходимо научиться работать с этими функция- 
ми. Хотя многими функциями можно управлять с помощью графических интер- 
фейсов, понимать, как пользоваться командным интерпретатором оболочки, очень 
важно для тех, кто администрирует системы Глпих. 

Современные системы Глпих далеко опередили первые системы ОМІХ, на ко- 
торых основана Глпих. На крупных предприятиях используются следующие рас- 
ширенные возможности Глпих. 


ө Кластеризация. Работу системы Глпих можно настроить так, что группа ком- 
пьютеров будет выглядеть как одна система в сети — кластер. При этом службы 
настраиваются так, чтобы они передавались между узлами кластера, а пользо- 
ватели могли задействовать эти службы беспрерывно. 
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ө Виртуализация. Чтобы эффективнее управлять вычислительными ресурсами, 
Тлпих может стать хост-системой виртуализации. На этом хосте можно вирту- 
ально запускать другие варианты Глпих, Мисгозой \/ш4о\з, ВО или иные опе- 
рационные системы. За пределами хоста каждый из этих виртуальных «гостей» 
выглядит как отдельный компьютер. Технологии КУМ и Хеп используются 
в пих для создания виртуальных хостов. 


® Облачные вычисления. Для управления большими средами виртуализации 
можно применять полномасштабные облачные вычислительные платформы на 
базе Глпих. Такие проекты, как ОрепЅѓасКк и Вей Наё УпбиаПтайоп (и дочерний 
проект о\У1т®), могут одновременно управлять многими хостами виртуализа- 
ции, виртуальными сетями, аутентификацией пользователей и систем, вир- 
туальными гостями и сетевым хранилищем. Проекты, например КиБегпееез, 
могут управлять контейнерными приложениями в крупных центрах обработ- 
ки данных. 


ө Вычисления в реальном времени. Глпих можно настроить для вычислений 
в реальном времени, где высокоприоритетные процессы быстро обрабатываются 
с особой тщательностью. 


® Специализированное хранилище. Вместо того чтобы просто хранить данные на 
жестком диске компьютера, можно размещать их во множестве специализиро- 
ванных локальных и сетевых хранилищ, имеющихся в іпих. Общие устройства 
хранения данных в Глпих — это 15 СЗТ, Ете СВаппе! и ГайпіБара. Существуют 
также платформы хранения данных с открытым исходным кодом, например 
Сер (серһ.іо) и СТазегЕ$ (ммим.д$ег.ога). 


Некоторые из этих сложных функций в данной книге не рассматриваются. 
Однако функции, относящиеся к работе оболочки, дисков, запуску и остановке 
служб, а также настройке различных серверов, служат основой для работы с более 
профессиональными функциями. 


Отличие Шпих от других операционных систем 


Если вы впервые слышите о Глпих, то, скорее всего, работаете в операционной 
системе Місгоѕоќ УЛт4о\з или тасО$. Несмотря на то что тасО$ создана на ос- 
нове свободной операционной системы, относящейся к системе Вегке|еу ЗоЁ\аге 
Піѕігібийіор (об этом позднее), сами по себе системы компаний М1сгозой и Арр!е 
считаются проприетарными. Это значит следующее. 


® Нельзя увидеть использованный при создании системы код, поэтому нельзя из- 
менять основные уровни системы, если они не подходят по назначению, а Также 
создать собственную операционную систему на основе кода-источника. 


® Нельзя проверить код на наличие ошибок, изучить слабые места системы без- 
опасности и просто посмотреть на используемый код. 
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өе Могут возникнуть сложности при загрузке собственного программного обеспе- 
чения в операционную систему, если разработчики не позволяют задействовать 
встроенный интерфейс программирования. 


Прочитав об этих ограничениях, вы можете задать вопрос: «А в чем проблема? 
Я ведь не разработчик. Мне не нужен код системы, и я не собираюсь менять его». 

Возможно, проблемы нет. Однако тот факт, что другие люди могут выбирать 
бесплатное программное обеспечение с открытым исходным кодом и использовать 
его по своему усмотрению, привел к взрывному росту в сферах Интернета (напри- 
мер, Соозе), мобильных телефонов (например, Апаго!4), специальных вычисли- 
тельных устройств (например, Т!\Уо), где действуют сотни технологических ком- 
паний. Применение свободного программного обеспечения привело к снижению 
вычислительных затрат и увеличению количества инноваций. 

Возможно, вы не хотите использовать систему Глпих — как Соозе, Еасефоок 
и др. — для создания компании с многомиллиардным доходом. Тем не менее многие 
компании, применяющие систему Глпих, все больше нуждаются в специалистах, 
которые работают с этой системой. 

Вероятно, вы задаетесь вопросом, как такая мощная и гибкая компьютерная 
система остается свободной и открытой? Чтобы ответить на него, необходимо 
узнать, как появилась система Глпих. Поэтому далее мы рассмотрим необычный 
и извилистый путь к открытому программному обеспечению и Глпах. 


История Шпих 


Все истории о Глпах начинаются с сообщения Линуса Торвальдса от 25 августа 
1991 года, помещенного на форуме сотр.оѕ.тіпіх под темой «Чего вам больше 
всего не хватает в тіпіх?» (9гоирѕ.доодіе.сот/ѓогит/#! тѕд/сотр.оѕ.тіпіх/аїМН7ВАгСА/ 
ЅуВауС2УЕ79]Ј). 


Линус Бенедикт Торвальдс 
Привет всем, кто использует тіпих! 


Я пишу (бесплатную) операционную систему (как хобби, ничего особенного 
и профессионального вроде епи) для АТ 386 (486). 


Я занимаюсь этим с апреля, и, мне кажется, система почти готова. Будет полезно 
узнать, что вам нравится /не нравится в тіпих, так как моя ОС на нее похожа 
(то же практичное физическое размещение файловой системы, помимо прочего). 
Приветствуются любые предложения, но я не обещаю, что использую их :-) 


Линус (іотоаіа5@ктиипа.ће[ѕіпёі, 1) 


Р. $. Да — она свободна от кода тіпіх и включает мультизадачную файловую 
систему. Она НЕ переносится (использует переключение задач 386 и пр.) и, воз- 
можно, никогда не будет поддерживать ничего, кроме АТ-винчестеров, потому 
что у меня есть только они :-( 
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Міпіх — ОМІХ-подобная операционная система для ПК начала 1990-х годов. 
Как и Міпих, пах относится к семейству Отих-подобных операционных систем. 
Кроме некоторых, к примеру Мисгозой \/ш4о\уз, большинство современных ком- 
пьютерных систем (включая тасО$ и саму Глпих) были созданы из операционных 
систем ОМІХ компании АТ&Т. 

Чтобы по достоинству оценить создание свободной операционной системы по 
образцу проприетарной системы компании АТ&Т Ве| ГаБогабогез, важно понять, 
в какой среде была создана ОМІХ и какая цепь событий сделала возможным сво- 
бодное воспроизведение сущности ОМПХ. 


ПРИМЕЧАНИЕ 


Чтобы больше узнать о создании системы Ипих, прочитайте биографию Линуса Торвальдса: Јиѕї Рог Рип: Тһе огу 
оҒап Ас@Четца! Веуо|иопагу. Нагрег Соїпѕ РиБ $ д, 2001. 


Свободная культура УМХ 
в стенах Ве! 1аб$ 


Изначально операционная система О МХ создавалась и взращивалась в коллек- 
тивной среде. Необходимость в этой ОС была продиктована не потребностями 
рынка, а желанием преодолеть препятствия при создании программ. Компания 
АТ&Т, владеющая торговой маркой ОМІХ, в итоге сделала из нее коммерческий 
продукт. Однако к тому времени многие концепции (и даже большая часть ран- 
него кода), которые делали систему ОМІХ особенной, стали достоянием обще- 
ственности. 

До распада в 1984 году АТ&Т была телефонной компанией. Вплоть до начала 
1980-х у нее почти не было конкурентов, и, если вам нужна была телефонная 
связь в Соединенных Штатах, необходимо было обращаться в АТ&Т. И поэтому 
компания могла себе позволить финансировать чисто исследовательские про- 
екты. Священной Меккой для таких проектов была площадка Ве] ГаБогаботез 
в Мюррей-Хилл, штат Нью-Джерси. 

После того как в 1969 году проект под названием Ми@сз прогорел, сотрудники 
Ве Тарѕ Кен Томпсон и Деннис Ричи самостоятельно приступили к созданию 
операционной системы, которая предлагала бы улучшенную среду для разработки 
программного обеспечения. До этого времени большинство программ писалось на 
бумажных перфокартах, которые должны были пакетами подаваться в мейнфрей- 
мы. В лекции 1980 года на тему Тйе ЕооиНоп о/ ће ОМХ Гте-зрапия буяет Деннис 
Ричи положил начало ОМІХ, сказав: «Мы хотели сохранить не просто хорошую 
среду для программирования, но и систему, вокруг которой могло бы образоваться 
сообщество. Мы знали по опыту, что суть общих вычислений, предоставляемых 
машинами с удаленным доступом и разделением времени, заключается не только 
в том, чтобы вводить программы в терминал вместо нажатия клавиш, но и втом, 
чтобы поощрять близкое общение». 
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Простота и мощь дизайна ОМІХ разрушили барьеры, которые раньше мешали 
разработчикам программного обеспечения. В основе ОМІХ лежали несколько 
ключевых концепций. 


® Файловая система ОМХ. Поскольку система включала структуру, позволя- 
ющую создавать уровни подразделов (для современных пользователей ПК 
они выглядят как папки внутри папок), ОМТХ можно было использовать для 
организации файлов и каталогов интуитивно понятным способом. Более того, 
сложные методы доступа к дискам, лентам и другим устройствам были зна- 
чительно упрощены за счет представления этих устройств в виде отдельных 
файлов, к которым можно было обращаться как к элементам каталога. 


® Перенаправление ввода/вывода. На раннем этапе системы ОМІХ включали 
в себя перенаправление ввода и конвейеры. Из командной строки вывод коман- 
ды направлялся в файл с помощью клавиши со стрелкой вправо (>). Позже была 
добавлена концепция конвейеров ( |), в которой выходные данные одной коман- 
ды могут быть направлены на вход другой команды. Например, строка команд: 


$ саї +11е1 +11е2 | ѕогі | рг | 1рг 


конкатенирует (са*) файлы +11е1 и #11е2, сортирует (ѕогї) строки в этих 
файлах в алфавитном порядке, разбивает отсортированный текст на страницы 
для вывода (рг) и направляет выходные данные на принтер компьютера по 
умолчанию (1рг). 


Данный метод перенаправления ввода/вывода позволил разработчикам соз- 
давать собственные специализированные утилиты, которые можно было объ- 
единить с уже существующими. Благодаря этой модульности стала возможна 
разработка большого количества кода множеством людей. А сам пользователь 
мог просто собрать вместе нужные ему команды. 


ө Мобильность. Упрощение работы с системой ОМХ привело к тому, что она 
стала широкодоступна для использования на различном компьютерном обору- 
довании. Имея драйверы устройств (в виде файлов в файловой системе), ОМІХ 
могла представлять интерфейс приложений таким образом, что программам 
не требовалось знать всю информацию о компьютере. Чтобы перенести ОМІХ 
в другую систему, разработчикам нужно было только заменить драйверы. А сами 
программы — нет! 


Однако для реализации необходимого программного обеспечения требовался 
высокоуровневый язык программирования. Поэтому Брайан Керниган и Деннис 
Ричи создали язык программирования С. В 1973 году ОМІХ был переписан на 
нем. Сегодня С — по-прежнему основной язык, используемый для создания ядер 
операционных систем ОМІХ (и Гпих). 

В своей лекции 1979 года (Беіі-ІаБѕ.сот/иѕг/атг/\улм/һіѕё.Һті) Ричи сказал: «Се- 
годня единственная важная программа ОМІХ, написанная на ассемблере, — это 
сам ассемблер; практически все служебные программы написаны на языке С, как 
и большинство прикладных программ, хотя уже существуют сайты, написанные на 
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языках Еогігап, Разса| и А1601 68. Несомненно, успех ОМІХ во многом обусловлен 
тем, что система удобочитаемая, модифицируемая и позволяет переносить про- 
граммное обеспечение, что, в свою очередь, вытекает из ее выражения на языках 
высокого уровня». 

Если вы поклонник [пах и интересуетесь тем, какие изначальные функции 
в ней сохранились, прочитайте переписанное Деннисом Ричи первое руководство 
по программированию в ОМХ (от З ноября 1971 года). Найти его можно на сай- 
те Денниса Ричи: Бе!і-Іабѕ.сот/иѕг/атг/ммм/15:Еатап.һті. В документе приведены 
страницы с руководством к ОМІХ, в котором по-прежнему сохранены основные 
форматы документирования команд операционных систем ОМІХ и пих и ин- 
струментов программирования. 

Окунувшись в созданные на ранних этапах документацию и отчеты о системе 
ОМІХ, можно понять, что разработка была процессом свободным и направленным 
исключительно на создание превосходной системы. Это и привело к совместному 
использованию кода (как внутри, так и за пределами компании Ве! Газ), что по- 
зволило быстро разработать высококачественную операционную систему ОМІХ. 
К тому же это дало возможность создать ОС, которую компании АТ&Т трудно 
будет откатить назад. 


Распространение УМХ 


До разделения в 1984 году на АТ&Т и еще семь компаний Вау Ве| компании 
АТ&Т было запрещено продавать компьютерные системы. Такие компании, как 
Уегіхоп, Омеѕі, МоКа и АІсаќе!-Ілсеп, ранее были частью АТ&Т. Из-за монополи- 
зации АТ&Т всей телефонной системы правительство США было обеспокоено, что 
негосударственная компания может повлиять на развивающуюся компьютерную 
индустрию. 

Поскольку АТ&Т ранее была ограничена в продаже компьютеров непосред- 
ственно клиентам, исходный код МХ был лицензирован для использования 
в университетах за символическую плату. Благодаря этому ОМІХ-системы рас- 
пространились среди самых лучигих университетов. Однако к тому времени еще 
не существовало ни одной операционной системы ОМХ, которую не пришлось бы 
собирать самостоятельно и которую продавала бы сама компания АТ&Т. 


Появление Вегкееу 5оЙ\маге Юіѕгібрийоп 


В 1975 году ОМІХ Уб стала первой версией системы ОМІХ, доступной для широко- 
го использования за пределами Ве! Тађогаїогіеѕ. Из этого раннего исходного кода 
ОМІХ в Калифорнийском университете в Беркли был создан первый крупный 
вариант системы. Ее назвали Вегкееу ЗоЁ\уате Ріѕігібийор (В$О). 

На протяжении почти всего следующего десятилетия версии систем ОМІХ для 
ВЗР и Ве! ТаБѕ развивались в разных направлениях. ВЅЮ продолжила работу 
в свободном коллективном пространстве, что ранее было отличительной чертой 
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Ве Гарѕ ОМІХ, тогда как АТ&Т стала двигаться в сторону коммерциализации 
МХ. Этот процесс начался с создания новой лаборатории ОМІХ, которая пере- 
ехала из Мюррей-Хилл в Саммит, штат Нью-Джерси. К 1984 году закончилось 
разделение АТ&Т, и компания была готова начать продажу системы ОМІХ. 


Лаборатория УМХ и коммерциализация 


Компания МІХ ГаБогафогу была бриллиантом без огранки из-за того, что не име- 
ла конкретного местоположения и не умела извлекать пользу из своего продукта. 
При переходах от Ве] ГаБогаботез в другие области АТ&Т компания несколько раз 
меняла название. Самое известное запомнившееся имя она получила, как только 
отделилась от АТ&Т: ОМІХ Ѕуѕсет Гађогаќогіеѕ (Ч 5Т.). 

Исходный код ОМІХ, родившийся из ОЗТ., наследие которой было частично 
продано компании Ѕапќа Сгих Орегайоп (5СО), какое-то время использовался в ка- 
честве основы для все уменьшающегося числа судебных исков 5СО против крупных 
поставщиков Глпих, таких как ІВМ и Кеа Нав, пс. Я думаю, именно из-за этого не- 
многие знают об усилиях 081, предпринятых для того, чтобы іпих стала успешной. 

Конечно, в 1980-е годы многие компьютерные компании опасались, что не- 
давно разделенная АТ&Т будет представлять большую угрозу для контроля над 
компьютерной индустрией, чем новенькая компания из Редмонда, штат Вашингтон. 
Чтобы успокоить ІВМ, Іеї, П1эКа| Едиіртепе Согрогайоп и другие компьютерные 
компании, ОМІХ Гар обеспечила равные условия игры. 


® Только исходный код. Вместо того чтобы выпускать собственный коробочный 
набор ОМІХ, АТ&Т продолжала продавать только исходный код и делать его 
равно доступным для всех лицензиатов. Каждая компания должна была уста- 
навливать систему Ошх на собственном оборудовании. Только в 1992 году, 
когда компания была отделена вместе с компанией Хоуе! (под именем Омуе]), 
а затем в конечном итоге продана Моуе!|, коммерческий набор установки ОМТХ 
(называемый ОшхУ/аге) создавался непосредственно из этого исходного кода. 


® Опубликованные интерфейсы. Для создания атмосферы справедливости 
и одинаковых условий для своих ОЕМ-производителей (производителей ори- 
гинального оборудования) АТ&Т начала стандартизировать возможности 
ОМІХ, чтобы различные системы все еще считались ОМІХ. С этой целью были 
созданы спецификации РогќаБе Орегайпе Зузбет [бег се (РОЅІХ) и АТ&Т 
ОМІХ буз$ет У ПиеНасе Оейпійор (ЗУТО), которые поставщики ОМХ могли 
использовать для создания совместимых систем. Те же спецификации были 
взяты за основу при создании операционной системы Глпих. 


ПРИМЕЧАНИЕ 


В одном из первых сообщений в группе новостей Линус Торвальдс сделал запрос на копию, предпочтительно он- 
лайн, стандарта РО51Х. Не думаю, что в АТ&Т ожидали, что кто-то действительно сможет написать собственный клон 
ОМІХ из этих интерфейсов, не используя ни одного фрагмента исходного кода. 
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ө Технический подход. И снова большинство решений по поводу ОМІХ при- 
нималось на базе технических заключений вплоть до покупки компании Ц 5Г. 
Технологически компания продвигалась, и, насколько мне известно, не было 
никаких разговоров о создании программного обеспечения, которое могло бы 
превзойти программное обеспечение других компаний или иным образом огра- 
ничить успех партнеров О51. 


Когда ОЗТ. в конце концов начала нанимать маркетологов и создавать настоль- 
ную систему ОМІХ для конечных пользователей, компания Масгозой \/ш4о\/з уже 
утвердилась на рынке персональных компьютеров. Кроме того, поскольку компа- 
ния всегда стремилась лицензировать исходный код, изначально созданный для 
крупных вычислительных систем, О51. испытывала трудности с формированием 
цен на свои продукты. К примеру, при использовании программного обеспечения 
с ОМХ компании приходилось за каждый компьютер платить лицензионный сбор, 
размер которого рассчитывался исходя из стоимости мейнфреймов (100 000 дол- 
ларов), а не из стоимости персональных компьютеров (2000 долларов). Вдобавок 
к этому с ОмхМаге не поставлялось никаких прикладных программ, и именно 
поэтому попытка провалилась. 

Однако другие компьютерные компании более удачно продавали системы 
ОМІХ. $СО нашла свою нишу на рынке, предлагая в основном настольные версии 
ОМІХ, работающие на обычных терминалах в небольших офисах. Компания Ѕип 
Місгоѕуѕіетѕ продала множество рабочих станций ОМХ (первоначально осно- 
ванных на В$О, но объединенных с ОМІХ в $У ВА) для программистов и высоко- 
технологичных приложений (к примеру, для торговли акциями). 

К 1980-м годам появились и другие коммерческие системы ОМІХ. Новые 
права собственности на ОМІХ начали сказываться на духе сотрудничества. Были 
возбуждены судебные иски для защиты исходного кода ОМІХ и товарных знаков. 
В 1984 году новый ограниченный ОМІХ дал начало организации под названием 
Егее ЗоЁ\аге Еоип4айоп, что в итоге привело к возникновению Глпих. 


Проект СМИ и свободная система УМХ 


В 1984 году Ричард М. Столлман начал работу над проектом СМО (дпи.ога). Назва- 
ние является рекурсивным акронимом от английского СМО'$ Моё ОМІХ — «СМИ — 
не іх». Проект СМО был создан организацией Егее ЗоЁ\аге Еоипаайоп (ЕЅЕ) 
с целью разработать новую свободно распространяемую систему на основе всего 
кода операционной системы ОМІХ. 

На сайте проекта СМО (дпи.ога/дпи/НедпиргоесЕ. пт!) рассказывается о том, как 
начинался проект, со слов самого Столлмана. Излагаются проблемы, которые про- 
приетарные программные компании навязывали тем разработчикам программного 
обеспечения, которые хотели делиться, создавать и внедрять инновации. 

Переписывание миллиона строк кода — дело, крайне затратное по времени для 
пары человек, однако если эту задачу распределить между десятками и даже сотня- 
ми разработчиков, то создать такой проект вполне реально. Ведь ОМІХ создавалась 
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именно для того, чтобы различные части кода можно было соединять. Поскольку 
интерфейсы команд и утилит были опубликованы и хорошо известны, работу над 
кодом можно было легко разделить между разработчиками. 

Оказалось, что новый код не только дает прежний результат, но и в некоторых 
случаях является лучшей версией исходного кода МХ. Поскольку каждый мог 
видеть код, создаваемый для проекта, ошибки быстро замечали и исправляли. 

Если вы уже знакомы с ОМІХ, попробуйте найти в сотнях программных паке- 
тов СМО с тысячами различных команд свою любимую команду из каталога Егее 
ЅоЌаге ПОлтесфогу (дігесіогу.ЁѕЁого/мікі/СМ№О). Велика вероятность того, что вы найдете 
ее там наряду с множеством других доступных программных проектов. 

Со временем термин «свободное программное обеспечение» (ее зой\аге) был 
заменен термином «программное обеспечение с открытым исходным кодом» (ореп 
зоигсе зоЁ\уаге). Термин /тее зо шаге чаще используется в Егее Зой\уаге Еоип4айоп, 
тогда как ореп ѕоигсе ѕојќоате встречается в Ореп Зоигсе Гуайуе (орепзоигсе.ога). 

Существует также объединенный вариант обоих терминов — «свободное про- 
граммное обеспечение с открытым исходным кодом» (Еее апа ореп ѕоигсе зоЁлуате, 
ЕО5$5). Основополагающий принцип ЕОЅ5 заключается в том, что, хотя вы можете 
использовать программное обеспечение по своему усмотрению, вы обязаны предо- 
ставлять общественности все улучшения, которые вносите в код. Таким образом, 
каждый пользователь сообщества может извлечь пользу из вашей работы, так же 
как вы извлекли пользу из работы других. 

Чтобы четко определить принципы работы с программным обеспечением с от- 
крытым исходным кодом, проект СМО создал лицензию СМО РиБіс Пісепѕе (СРТ.). 
Многие другие лицензии на программное обеспечение предполагают несколько 
иные подходы к защите свободного программного обеспечения, но СРІ. является 
наиболее известной и охватывает само ядро пих. Лицензия СМО РиБіс Глсепзе 
включает в себя следующие основные принципы. 


® Авторские права. Автор сохраняет за собой права на свое программное обе- 
спечение. 


® Свободное распространение. Пользователи могут использовать программное 
обеспечение СКО как им захочется, изменяя его по своему желанию. При этом 
они обязаны включить свой исходный код в дистрибутив (или сделать его лег- 
кодоступным). 


® Сохранение авторских прав. Даже если вы создаете и перепродаете программ- 
ное обеспечение, первоначальные авторские права СМО должны быть сохране- 
ны, а это означает, что все будущие покупатели ПО могут изменить исходный 
код, как это сделали вы. 


На программное обеспечение СМО нет никаких гарантий. Если что-то пойдет 
не так, первоначальный разработчик программного обеспечения не обязан устра- 
нять проблему. Однако многие организации, большие и малые, предлагают плат- 
ную поддержку (часто в форме подписки) для ПО, включенного в их дистрибутив 
Тіпих, или другого ПО с открытым исходным кодом. (Более подробное опреде- 
ление программного обеспечения с открытым исходным кодом см. в подразделе 
«Определение открытого источника О51» далее в этой главе.) 
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Несмотря на успешную разработку тысяч утилит ОМІХ, проект СМО не смог 
создать самый важный фрагмент кода — ядро. Попытки построить ядро с открытым 
исходным кодом с помощью проекта СМО Нига (дпи.ога/зоймаге/пига) оказались 
неудачными. 


В5р сбавляет обороты 


Единственный проект с открытым исходным кодом, который имел шанс превзойти 
Тіпих, назывался ВО. К концу 1980-х годов разработчики В$О из Калифорний- 
ского университета (ОС) в Беркли уже переписали большую часть исходного кода 
ОМІХ, созданного десятилетием ранее. 

В 1989 году Калифорнийский университет распространил собственный ОМІХ- 
подобный код как №еї/1, а позже, в 1991 году, — №еї/2. Как раз в то время, когда Кали- 
форнийский университет готовил полноценную ОМХ-подобную операционную 
систему, в которой не использовался код компании АТ&Т, последняя подала на них 
в суд (это произошло в 1992 году). В иске утверждалось, что в программном обеспече- 
нии задействован код, относящийся к коммерческой тайне АТ&Т и их ЧМ[ГХ-системы. 

Важно отметить, что разработчики ВО полностью переписали защищенный 
авторским правом код АТ&Т. И именно авторское право использовала компания 
АТ&Т для защиты своих прав на код ОМТХ. Некоторые считают, что если бы 
АТ&Т запатентовала принципы, описанные в коде, то операционной системы Глпих 
(и любого другого клона ОМІХ) не существовало бы. 

Иск был отозван, когда в 1994 году компания №оуе! купила ОМІХ Зузет 
ГаБогафот1ез у АТ&Т. Тем не менее в течение этого критического периода было 
достаточно волнений относительно законности кода Вѕр, чтобы компания ВЅр 
потеряла первоначальный импульс к развитию в сообществе с открытым исходным 
кодом. Многие начали искать им альтернативу. И тогда настало время студента из 
Финляндии, который работал над собственным ядром. 


ПРИМЕЧАНИЕ 


Сегодня версии кода В50 доступны в трех крупных проектах: ЕгееВ 50, №{В50 и ОрепВ 5. Проект ЕгееВ5р считается 
самым простым в применении, №е{В50 — доступным на большинстве компьютерных платформ, а ОрепВ50 — 
максимально безопасным. Большинство тех, кто заинтересован в безопасности системы, все еще предпочитают 
В5 системе пих. Кроме того, благодаря лицензии код В50 могут использовать поставщики проприетарных про- 
грамм, таких как МісгоѕоЁ и Арріе, которые не позволяют делиться своим кодом системы с другими. Система тас05 
как раз и построена на основе В50. 


Создание недостающей части 


Линус Торвальдс, будучи студентом университета Хельсинки в Финляндии, 
начал работу над системой Глпих в 1991 году. Он хотел создать ОМІХ-подобное 
ядро, чтобы на домашнем компьютере работать с той же операционной системой, 
что и в университете. В это время Линус пользовался системой Міпіх, однако его 
не устраивали ограничения этой системы и он хотел пойти дальше. 
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Как отмечалось ранее, впервые Линус рассказал о создании ядра [тих в новост- 
ной группе сотр.оѕ.тіпіх 25 августа 1991 года, однако сам он утверждает, что ядро 
не было готово до середины сентября того же года. 

Хотя Торвальдс утверждал, что Глпиах была написана для процессора 386 и, ве- 
роятно, не была переносимой, другие упорно настаивали на увеличении перено- 
симости уже в ранних версиях Тлпих (и способствовали этому). Пятого октября 
1991-го была создана версия Глпих 0.02, в которой большая часть исходного кода 
сборки была переписана на языке программирования С, что позволило сделать 
систему переносимой. 

Ядро Глпих было последней и самой важной частью кода, необходимой для 
создания ОМХ-подобной операционной системы под лицензией СРІ. Когда 
пользователи начали устанавливать дистрибутивы, появилась проблема с на- 
званием — это Глпих и не СМО? Некоторые дистрибутивы, такие как ОеЫап, 
однако, считались дистрибутивами СМО/Глпих. (Если СМО не включался в на- 
звание или подзаголовок операционной системы Глпих, то это вызывало боль- 
шое недовольство некоторых участников проекта СМО. Больше информации 
см. на дпи.огд.) 

Сейчас Ііпих можно описать как ОМІХ-подобную операционную систему с от- 
крытым исходным кодом, которая соответствует требованиям стандартов ЗУТО, 
РОЗХ и ВО. Глпих продолжает стремиться к соблюдению стандартов РОЅІХ, 
а также стандартов, установленных владельцем торговой марки МХ — компанией 
Ореп Стоир (орепдгочр.ога). 

Некоммерческая организация Ореп Ѕоигсе Оеуеіортепё Г.аБз, переименован- 
ная в іпих Еоип4айоп после слияния с Егее ЗбапЧага$ Стоир (!пихоипаавоп.огд), 
в которой работает Линус Торвальдс, в настоящее время направляет усилия на раз- 
работку Глпих. Организацию спонсируют большинство популярных коммерческих 
поставщиков систем и приложений Глпих, включая ІВМ, Кеа Наї, ЗОЗЕ, Огасіе, 
НР, Ре, Сотриќег Аѕѕосіаѓеѕ, Гре], Сіѕсо Зузбетиз и сотни других. Первичная цель 
Тіпих Еоипаайоп заключается в ускорении роста Глпах с помощью предоставле- 
ния ее разработчикам правовой защиты и стандартов разработки программного 
обеспечения. 

Хотя большая часть усилий Глпих в разработке направлена на корпоративные 
вычисления, значительные улучшения наблюдаются и в области настольных 
компьютеров. Графические среды КОРЕ и СМОМЕ предназначаются для обычных 
пользователей и постоянно улучшаются. Новые легкие настольные среды, такие 
как Сһготе О$, ХКе и Г.ХПЕ, являются эффективными альтернативами от пих 
для владельцев нетбуков. 

Линус Торвальдс продолжает трудиться над улучшением ядра пих. 


ПРИМЕЧАНИЕ 


Историю Мпих в подробностях можно прочитать в книге Ореп 5оигсез: Моісеѕ Нот {ће Ореп Ѕошсе Веуо|и оп 
(О’Вейу, 1999). Полноценное первое издание доступно онлайн на сайте огеу.сот/орепбооК/орепзоигсе/БооК/. 
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Определение открытого источника О$1 


Тіпих предоставляет платформу, которая позволяет разработчикам программного 
обеспечения изменять операционную систему по своему усмотрению и получать 
разнообразную помощь при создании необходимых им приложений. На страже 
движения за открытый исходный код стоит организация Ореп 5оитсе Ітійаійое 
(ОТГ) (орепѕоигсе.огд). 

Хотя основная цель разработки открытого программного обеспечения заклю- 
чается в том, чтобы источник кода оставался доступным всем, организация ОЗ] 
определяет и другие цели. Большинство следующих правил лицензий с открытым 
исходным кодом служат для защиты свободы и целостности открытого исходного 
кода. 


® Право на свободное распространение. Лицензия не должна ограничивать про- 
дажу или свободное распространение программного обеспечения. 


® Исходный код. Дистрибутив приложения должен включать его исходный код, 
причем распространение приложения должно быть разрешено как в виде ис- 
ходных кодов, так и в скомпилированной форме. 


® Производные продукты. Лицензия должна разрешать также внесение измене- 
ний в производные продукты и их распространение на тех же условиях. 


® Целостность исходного кода автора. Лицензия может потребовать, чтобы те, 
кто использует исходный код, удалили имя или версию исходного проекта, если 
они изменяют этот код. 


е Недопустимость дискриминации в отношении пользователей. В лицензии 
недопустимы условия, дискриминирующие отдельного человека или группы 
людей. 


ө Недопустимость дискриминации в отношении области применения. Лицензия 
не может ограничивать пользователей в выборе области применения программ- 
ного обеспечения. Например, она не может включать условия, запрещающие 
использование ПО для бизнеса или генетических исследований. 


® Распространение лицензии. Вторичные пользователи не должны быть ограни- 
чены дополнительными лицензионными соглашениями. 


® Лицензия не должна быть специфичной для конкретного продукта. Права 
на применение приложения не должны зависеть от того, является оно частью 
определенного программного пакета или нет. 


® Лицензия не должна ограничивать использование других продуктов. В лицен- 
зии недопустимы ограничения на применение других продуктов, распространя- 
емых совместно с лицензируемым программным обеспечением. 

ө Нейтральность по отношению к технологиям. Никакие условия лицензии 


не должны быть обусловлены использованием тех или иных технологии, стиля 
или интерфейса. 
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Лицензии с открытым исходным кодом, которые задействуются в проектах 
разработки программного обеспечения, должны соответствовать этим критериям, 
чтобы подходить под стандарты ОЗТ. Около 70 разных лицензий принято по этим 
стандартам. Такое программное обеспечение обозначается наклейкой ОЗТ Сегийе4 
Ореп Зоигсе ЗоЁ\уаге. Кроме СРТ, существуют и другие популярные лицензии, 
одобренные О$І. 


ө ІСРІ. (СМО Геззег Сепега! РиБ с Глсепзе). Используется для распространения 
библиотек, от которых зависят другие прикладные программы. 


ө Вѕр (Вегкееу ЗоНлуаге Ріѕігірибйіор Тісепѕе). Позволяет распространять ис- 
ходный код, при этом он должен сохранять информацию об авторских правах 
ВЗР и не использовать имена авторов для поддержки или продвижения про- 
изводного программного обеспечения без письменного разрешения. Главное 
различие между лицензиями СРТ. и ВЗО в том, что ВЗР не требует, чтобы те, 
кто изменяет код, делились им с сообществом. Именно поэтому производители 
проприетарного ПО, такие как Арр!е и М!сгозой, применяют код ВЅР” в своих 
операционных системах. 


е МІТ. Похожа на лицензию ВЅР”, но не требует соблюдения стандартов одобре- 
ния и продвижения. 


өе Моха. Касается использования и распространения исходного кода, связанно- 
го с браузером ЕеЮх и другим программным обеспечением компании Мох Ша 
(то7Иа.ога). Эта лицензия длиннее, чем упомянутые ранее, так как содержит 
больше критериев того, как должны вести себя участники и те, кто повторно 
применяет исходный код. Критерии включают в себя добавление файла из- 
менений, знание проблем и других ограничений при добавлении изменений 
В КОД. 


Конечным результатом разработки открытого исходного кода является про- 
граммное обеспечение, более гибкое и имеющее меньше ограничений при исполь- 
зовании. Многие считают: то, что пользователи могут просматривать исходный 
код проекта, позволяет создать более качественное программное обеспечение. 
Как сказал адвокат Эрик С. Реймонд, «при достаточном количестве глаз баги вы- 
плывают на поверхность». 


Как появились дистрибутивы Мпих 


Наличие в Интернете исходного кода, который можно было бы скомпилировать 
и упаковать в систему Глпих, не вызывало проблем у знающих пользователей. 
Однако для обычных пользователей был необходим более простой способ создать 
свою систему Глпих. Для этого лучшие специалисты начали собирать собственные 
дистрибутивы для іпих. 

Дистрибутив Глпих состоит из компонентов, необходимых для создания функ- 
ционирующей системы, и команд, требующихся для запуска и работы этих компо- 
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нентов. Технически сам Глпих считается ядром. Но, чтобы ядро заработало, необхо- 
димо другое программное обеспечение: базовые команды (утилиты СМО), службы 
(например, удаленный вход в систему или веб-серверы) и, возможно, интерфейс 
рабочего стола и графические приложения. Затем нужно все это собрать вместе 
и установить на компьютер. 

ЗЛасК\уаге — один из самых старых дистрибутивов, поддерживаемый до сих 
пор (ѕіаскмаге.сот). С ним Глпих стал удобным для технически хуже подкованных 
пользователей, а нужное программное обеспечение было уже скомпилировано 
и сгруппировано в пакеты. (Эти пакеты программного обеспечения поставляются 
в формате ТАК и называются тарболлами.) Пользователи могут использовать ба- 
зовые команды [іпих, например, для форматирования диска, включения подкачки 
и создания учетных записей пользователей. 

Вскоре были разработаны многие другие дистрибутивы Глпих. Некоторые из 
них создавались под конкретные нужды, к примеру КМОРРІХ («живой» образ 
на СО), Сепќоо (легко настраиваемый) и Мапагаке (ранее Мапӣгіха, один из на- 


стольных). Но основой для множества дистрибутивов других стали два главных: 
Кеа Наё Глпих и ОеЫап. 


Дистрибутивы Веа Наё 


Появившись в 1990-х, дистрибутив Ве Наї очень быстро завоевал популярность 
по нескольким причинам. 


® Система управления пакетами КРМ. Пакеты в формате ТАК хороши для за- 
грузки программного обеспечения на компьютер, однако они не подходят для 
работы с ним: обновления, удаления или даже поиска информации о нем же. 


Для Кеа На была создана система управления пакетами КРМ, и теперь пакеты 
с ПО содержали не только сами файлы, но и информацию о версии, авторе, обо 
всех документах и конфигурациях, а также о дате создания. Формат КРМ позво- 
ляет сохранять информацию о каждом пакете с ПО в собственной базе данных. 
Благодаря этому облегчаются поиск, обновление и удаление пакетов. 


е Простая установка. С помощью инсталлятора Апасоп4а стало гораздо легче 
устанавливать Глпах. Пользователь отвечает на несколько вопросов, в большин- 
стве случаев оставляя настройки по умолчанию, — и Вей Наб Глпих установлен. 


ө Графическое администрирование. В Кей Наї добавлены простые графические 
инструменты для настройки принтеров, добавления пользователей, установки 
времени и даты, а также выполнения других административных задач. Таким 
образом, пользователи настольных компьютеров могут работать в системе Глпих, 
даже не задействуя команды. 


Годами Вей Наї Глпих был дистрибутивом, наиболее широко используемым 
как профессионалами, так и обычными пользователями. Компания Кей Наѓ, 
Тос. поделилась свои исходным кодом и уже скомпилированными, готовыми 
к работе версиями Ве4 На Глпих (исполняемыми файлами). Но по мере того, как 
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потребности пользователей сообщества Глпиах и крупных компаний начали меняться, 
расходясь в разные стороны, компания Вей На отказалась от Кеа Наё Глпих и вместо 
этого начала разрабатывать две операционные системы: Вей Нас Епќегргіѕе пих 
и Ееога. 


Дистрибутив Веа На Ещегризе Шпих 


В марте 2012-го компания Вей Наѓ, Тас. стала первой компанией ПО с открытым 
исходным кодом с доходом более 1 млрд долларов в год. Она достигла этого после 
создания набора продуктов на базе Кеа Нас Ерѓегргіѕе Піпих (ВНЕГ.), которые 
удовлетворяли потребности наиболее востребованных корпоративных вычисли- 
тельных сред. После расширения линейки продуктов, включающей большинство 
компонентов гибридных облачных вычислений, в июле 2019 года Кеа Наё была 
куплена компанией ІВМ за 34 млрд долларов. 

В то время как другие дистрибутивы Глпих были сосредоточены на настольных 
системах или вычислениях для малого бизнеса, КНЕІ. работала над функциями, не- 
обходимыми для работы с критически важными задачами крупного бизнеса и пра- 
вительства. Были созданы системы, которые ускоряли транзакции для крупнейших 
мировых финансовых бирж и объединялись в кластеры и виртуальные хосты. 

Вместо того чтобы просто продавать дистрибутив КНЕТ, компания Кеа Наб 
предложила целую систему преимуществ, на которую могут опираться пользова- 
тели Глпиах. Чтобы работать с КНЕІ., они приобретают подписки, которые можно 
применять для развертывания любой нужной версии КНЕГ. При переходе на 
другую систему можно использовать ту же подписку. 

Существуют различные уровни поддержки КНЕГ, которые пользователи вы- 
бирают в зависимости от своих потребностей. Им гарантировано, что наряду с под- 
держкой они могут приобрести аппаратное и стороннее программное обеспечение, 
сертифицированное для работы с ВНЕГ. А еще могут привлечь консультантов 
и инженеров Кеа Наѓ, чтобы собрать необходимые им вычислительные среды. Могут 
также оформить для своих сотрудников обучение с последующим экзаменом и по- 
лучением сертификата (см. обсуждение сертификации КНСЕ далее в этой главе). 

Веа Наб добавила и другие продукты в качестве естественных расширений 
для Кеа На Епсегргіѕе Піпих. ЈВоѕѕ — это промежуточный сервер для развер- 
тывания Јауа-приложений в Интернете или корпоративной внутренней сети. 
Беа Наѓ Уігіпајіғаііоп включает в себя хосты виртуализации, менеджеров и го- 
стевые компьютеры, которые позволяют устанавливать, запускать, переносить 
и выводить из эксплуатации огромные виртуальные вычислительные среды, 
а также управлять ими. 

В последние годы Вей Наё расширила свое портфолио в сфере облачных вы- 
числений. Кеа Наё ОрепЅ(аск РІайогт и Кеа Наѓ Уігіџаіхайоп предлагают ком- 
плексные платформы для запуска виртуальных машин и управления ими. Однако 
наиболее востребованная сейчас технология — Рей Наѓ Ореп5 МИ, предоставляющая 
гибридный облачный пакет программного обеспечения, в основе которого лежит 
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Кирегпеќеѕ — самый популярный проект оркестрации контейнеров. С приобре- 
тением Кеа На компания ІВМ поставила перед собой цель контейнеризировать 
большинство своих приложений для работы на Ореп М. 

Есть и те, кто пытался клонировать ВНЕГ, используя находящийся в свободном 
доступе исходный код ВНЕГ, перестраивая и ребрендируя его. ОгасІе Глпих по- 
строен на основе исходного кода для ВНЕГ, но в настоящее время его ядро с этим 
кодом несовместимо. СепіОЅ — это спонсируемый сообществом дистрибутив 
Глпах, основанный на исходном коде ВНЕГ. Недавно Веа Наѓ взяла на себя под- 
держку проекта СепсО$. 

В книге во многих примерах используется Веа Наг Ещегрг!зе Глпих, так как 
существует огромный спрос на специалистов, которые могут администрировать 
системы ВНЕГ. Однако, если вы только начинаете работать с Піпих, дистрибутив 
Ее4ога позволит усвоить первые навыки работы, которые понадобятся для исполь- 
зования и администрирования систем КНЕГ. 


Дистрибутив Гедога 


ВНЕГ. — это коммерческий стабильный поддерживаемый дистрибутив Глпих, 
Ее4дога же — бесплатный ультрасовременный дистрибутив Глпих, спонсируемый 
Веа Наф, Гос. Еейога — это система Тіпих, с помощью которой Кеа Наё привлекает 
сообщество разработчиков Глпих и поощряет тех, кто хочет получить бесплатный 
Тіпих для личного применения и быстрого развития. 

Еедога включает в себя десятки тысяч программных пакетов, многие из которых 
соответствуют новейшим технологиям с открытым исходным кодом. Пользова- 
тель может опробовать новейшие настольные, серверные и административные 
интерфейсы Глпах в Еейога бесплатно. А разработчик программного обеспечения 
может создавать и тестировать свои приложения, используя новейшие ядра Глпих 
и инструменты разработки. 

Еедога в большей степени фокусируется на новейших технологиях и в мень- 
шей — на стабильности. Поэтому могут понадобиться дополнительные действия, 
чтобы вся система и ее программное обеспечение заработали. 

Я рекомендую применять Еедога или КНЕТ. для отработки примеров из книги 
по следующим причинам. 


ө Геога представляет собой испытательный полигон для Вей Наб Ерѓегргіѕе 
Тліпих. Кеа Наї тестирует множество новых приложений в Редога, прежде чем 
добавить их в ВНЕГ. Используя Ее4ога, вы получите навыки, необходимые для 
работы с функциями, разрабатываемыми для Кеа Наё Епсегргіѕе Глпих. 


ө В качестве практики обучения Еейога более удобен, чем КНЕГТ, к тому же 
включает в себя много продвинутых, готовых к работе инструментов, которые 
имеются в КНЕГ. 

ө ГеЧога «свободен» благодаря не только открытому коду, но и бесплатному до- 
ступу. 
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Дистрибутив Еейога чрезвычайно популярен у разработчиков программного 
обеспечения с открытым исходным кодом. Однако в последние несколько лет 
внимание многих из тех, кто начинает работу с пих, привлек другой дистрибу- 
тив — ОЪипќи. 


Дистрибутив УБити — еще одна ветвь ребіап 


Как и Кеа Наб Глпах, ОеЫар СМО/П тах был ранним дистрибутивом Глпих, кото- 
рый преуспел в управлении программным обеспечением. Оеђіап использует фор- 
мат ер для пакетов и специальные инструменты для управления всеми пакетами 
программного обеспечения в своих системах. ОеБіар также считается максимально 
стабильным дистрибутивом. 

Многие дистрибутивы Глпах начинались именно с дистрибутива Юеђіар. 
По данным новостного портала Ріѕігоўаїсћ (аіѕігомаќсһ.сот), от него произошли 
свыше 130 активных дистрибутивов Глпих. Популярные дистрибутивы на базе 
ЮеЫар — это лпих Мф, еіетепќагу ОЗ, Хогш О$, _ХІЕ, Каі Глпих и многие дру- 
гие. Однако наибольшим успехом пользуется производный от Оеап дистрибутив 
ОХЪипќёи (ибипеи.сот). 

Опираясь на стабильную разработку и пакеты программного обеспечения 
ОеБап, дистрибутив ОБаши Піпих (спонсируемый Сапошса!| 144.) восполнил те 
функции, которых не хватало ОеЫап. Стремясь привлечь новых пользователей 
в пих, в проект ОБипќи добавили простой графический установщик и не менее 
простые в использовании графические инструменты. Дистрибутив также сосре- 
доточился на полнофункциональных настольных системах, предлагая при этом 
популярные пакеты серверов. 

ОБипёи создал несколько новых способов запуска Глпих. С помощью «живых» 
компакт-дисков или «живых» ОЗВ-накопителей с ОБипби можно запустить систему 
всего за несколько минут. Часто на «живые» компакт-диски добавлялись прило- 
жения с открытым исходным кодом, такие как браузеры и текстовые процессоры, 
которые могли работать в \Лп4о\\з, что облегчило переход с последнего на Гіпих. 

Если вы уже используете ОЪипа, не переживайте: большинство примеров, 
приведенных в этой книге, будут работать так же хорошо в ОБипти, как и в Еейога 
или КНЕГ. 


Профессиональные возможности Мпих 


Если нужно разработать компьютерный проект для исследовательского института 
или технологической компании, с чего вы начнете? Вы начнете с идеи. После этого 
понадобятся инструменты, которые нужно изучить, чтобы осуществить задуманное. 
Затем потребуются другие люди, которые помогут в процессе творчества. 
Сегодня трудности при создании такой компании, как Соозе или Еасероок, 
заключаются только в том, что нужны компьютер с Интернетом и огромное коли- 
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чество чашек кофе, чтобы не спать всю ночь и писать код. Если у вас есть идея, как 
изменить мир, іпих и тысячи программных пакетов помогут вам реализовать свои 
мечты. В мире с открытым исходным кодом существуют сообщества разработчиков, 
администраторов и пользователей, всегда готовых помочь. 

Проекты с открытым исходным кодом всегда ищут специалистов для написания 
кода, тестирования программного обеспечения или создания документации, так 
что вы тоже можете в этом поучаствовать. В этих проектах задействованы пользо- 
ватели, которые применяют программное обеспечение, работают над ним и готовы 
поделиться своим опытом. 

Независимо от того, стремитесь ли вы разработать следующий большой проект 
ПО с открытым исходным кодом или просто хотите получить навыки, необходи- 
мые для работы администратором или разработчиком Глпих, сообщества помогут 
узнать, как устанавливать, защищать и поддерживать системы [іпих. 

К марту 2020 года на сайте для поиска работы ш4ее4.сот было более 60 000 ва- 
кансий, требующих навыков работы в Глпих. Почти половина из них предлагала 
зарплату 100 000 долларов в год и более. Сайт Ео$3]0Ъ$.пеё также размещает ва- 
кансии, связанные с Глпих и другими возможностями свободного и открытого 
программного обеспечения. 

И все это доказывает, что Плпих продолжает расти и поддерживать спрос на зна- 
ния и умения, касающиеся этой системы. Компании, которые начали использовать 
Тлпих, растут и развиваются вместе с системами. Пользователи пих продолжа- 
ют расширять его возможности и утверждаются в том, что благодаря экономии 
средств, безопасности и гибкости Глпих — это хорошая инвестиция. 


Как компании зарабатывают с помощью Ипих 


Увлеченные пользователи открытого исходного кода полагают, что именно на ос- 
нове модели разработки ПО с открытым кодом получается лучшее программное 
обеспечение, чем на базе моделей разработки проприетарных программ. Теорети- 
чески любая компания, создающая программное обеспечение для собственного 
применения, может сэкономить деньги, добавив свои разработки к разработкам 
других пользователей, и получить гораздо лучигий результат. 

Компании, которые хотят зарабатывать на продаже программного обеспече- 
ния, должны подходить к этому делу креативнее, чем раньше. Можно продавать 
созданное вами ПО, которое включает в себя программное обеспечение СРТ, при 
этом необходимо передать его исходный код далее. Конечно, другие пользователи 
могут затем переделать конечный продукт, используя его по-своему, или даже пере- 
продать. Перечислю несколько способов, с помощью которых компании решают 
эту проблему. 


® Подписки на программное обеспечение. Компания Ве4 Наѓ, пс. распространя- 
ет продукты Кеа Наб Епќегргіѕе Піпих по подписке. За определенную сумму в год 
вы получаете дистрибутив для запуска Глпиах (не нужно ничего компилировать 
самостоятельно), гарантированную поддержку, инструменты для отслеживания 
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аппаратного и программного обеспечения на вашем компьютере, доступ к базе 
знаний компании и другим ресурсам. 


Хотя проект Еейога включает в себя большую часть того же программного обе- 
спечения и также доступен в виде готового к запуску дистрибутива, гарантий, 
связанных с самим ПО и его будущими обновлениями, не предоставляется. 
Небольшой офис или обычный пользователь еще может пойти на риск, приме- 
няя Еедога (которая сама по себе является отличной операционной системой), 
но большой компании с критически важными рабочими инструментами пред- 
почтительнее оплатить подписку за КНЕТ. 


Обучение и сертификация. С расширением использования систем Глпих на 
уровне правительств и крупного бизнеса требуются профессионалы для ра- 
боты в этих системах. Кеа Наб предлагает учебные курсы и сдачу экзаменов 
с получением сертификата об их прохождении, чтобы помочь системным ад- 
министраторам повысить квалификацию в системе Кей Наё Епсегргіѕе Глпих. 
В частности, стали популярны сертификаты Ве4 Наб Сегайеа Епэтеег (ВКНСЕ) 
и Кеа Наї Сегііћеа Ѕуѕќет Айтіпіѕігасог (ВНСЗА) (гейһаї.сот/еп/ѕегуісеѕ/ёгаіпіпо- 
апа-сегійсайоп/мћу-деі-сенійеа). Подробнее о сертификатах КНСЕ/ВНСЗА чи- 
тайте далее в этой главе. 


Профессиональные ассоциации компьютерной индустрии Глпих Ргоѓеѕѕіопа! 
Тазё ще (1ру.ога) и СотртТ1А (сотріа.огд) предлагают и другие программы сер- 
тификации. 


Система поошрений. Применение системы поощрений — увлекательный способ 
заработать для компании, работающей с открытым исходным кодом. Предпо- 
ложим, вы используете программный пакет ХУЙ и вам срочно нужна новая 
функция для него. Заплатив вознаграждение за ПО проекту или другим его 
разработчикам, можно переместить требующиеся улучшения на первое место 
в очереди. Программное обеспечение, за которое вы заплатите, останется под 
лицензией с открытым исходным кодом, но у вас будут необходимые функции 
и, вероятно, за меньшие деньги, чем стоит разработка проекта с нуля. 


Пожертвования. Многие проекты с открытым исходным кодом принимают 
пожертвования от частных лиц или компаний, которые используют код в своих 
проектах. Удивительно, но многие такие проекты основаны на деятельности 
одного или двух разработчиков и держатся на плаву исключительно на по- 
жертвованиях. 


Коробочные версии, кружки и футболки. Для некоторых проектов созданы 
интернет-магазины, где можно купить коробочные версии (некоторые люди 
все еще любят физические РУР и печатные инструкции) и различные кружки, 
футболки, коврики для мыши и другие товары. Если вам нравится проект, ради 
бога, купите футболку! 


Это ни в коем случае не исчерпывающий список, потому что каждый день 


изобретают все более оригинальные способы поддержки тех, кто создает про- 
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граммное обеспечение С открытым ИСХОДНЫМ КОДОМ. Помните, что многие люди 
стали участниками подобных проектов именно потому, что нуждались в данном 
программном обеспечении или хотели использовать его. Вклад в работу, по сути 
бесплатный, стоит той отдачи, которую они получают от других участников со- 
общества и пользователей. 


Сертификаты компании Веа Наї 


Хотя книга не о том, как получить сертификат Глпих, она затрагивает те виды дея- 
тельности, которые требуется освоить, чтобы сдать необходимые экзамены Гпих. 
В частности, большая часть того, что есть в экзаменах Кеа Наё Сегііћеа Епэшеег 
(ЕНСЕ) и Кеа На Сегыйе4 Ѕуѕсет Аатіпіѕітаѓог (КНСЅА) для Кеа Наё Епќегргіѕе 
Глпих 8, описана в этой книге. 

Для работы в качестве ИТ-специалиста Тіпих чаще всего требуется сертификат 
ЕНСЅА или КЕНСЕ. Экзамен КНСЅА (ЕХ200) обеспечивает базовую сертифика- 
цию, охватывающую такие темы, как настройка дисков и файловых систем, до- 
бавление пользователей, настройка веб- и ЕТР-сервера, а также добавление файла 
подкачки. Экзамен КНСЕ (ЕХЗО00) охватывает более продвинутую конфигурацию 
сервера, а также расширенное знание функций безопасности, таких как $Е11іпих 
и брандмауэры. 

Те, кто преподавал на курсах КНСЕ/ВНСЗА и сдавал экзамены (как я в тече- 
ние трех лет), не имеют права точно рассказывать о том, что на них спрашивают. 
Однако компания Кеа Наб описала, как проходят экзамены, а также опубликовала 
список тем, которые могут встретиться. Информация об экзаменах приведена на 
сайтах: 


ө ЕНССХА: гедћаї.сот/еп/ѕегуісеѕ/ігаіпіпа/ех200-геа-һаі-сегіћеа-ѕуѕіет-аатіпіѕігаёог-гһсѕа- 
ехат; 


ө ЕНСЕ: гейһаё.сот/еп/ѕегуісеѕ/ёгаіпіпо/ех294-гей-һаі-сегіійеа-епоіпеег-гһсе-ехат-гед-һаё- 
епїегргіѕе-1іпих-8. 


Как указано в требованиях, экзамены ЕНСЅА и ЕНСЕ являются практиче- 
скими, а это значит, задачи необходимо выполнить в реальной системе Кеа Нас 
Епїѓегргіѕе пих. Оценивается успешность выполнения поставленных задач. 

Если вы планируете сдавать экзамены, время от времени проверяйте стра- 
ницы с требованиями, так как они периодически меняются. Имейте в виду, 
что ЕНСЅА — это независимый сертификат, а чтобы получить сертификат 
КЕНСЕ, необходимо сдать экзамены ВНСЅА и ВНСЕ. Обычно оба экзамена сдают 
в один день. 

Вы можете записаться на обучение и экзамены ЁНСЅА и ВНСЕ на сайте 
гедһаї.сот/еп/ѕегуісеѕ/їгаіпіпо-апа-сепійсайоп. Обучение и экзамены проводятся в круп- 
ных городах на всей территории Соединенных Штатов и по всему миру. Навыки, 
необходимые для сдачи этих экзаменов, описаны далее. 
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Темы для ВНСЅА 


Как говорилось ранее, темы экзамена КНСЅА охватывают базовые навыки систем- 
ного администрирования. Вот список актуальных тем для Кеа Наё Епбегри!зе Тлпах 8 
на сайте экзамена КНСЅА (опять же проверяйте актуальность на сайте) и главы 
этой книги, в которых они рассматриваются. 


е Понимание основных инструментов. Практическое знание командной обо- 
лочки (Баз), включая то, как использовать правильный синтаксис команд 
и выполнять перенаправление ввода/вывода (< > >>). Необходимо знать, как 
войти в удаленную и локальную системы, а также уметь создавать, редакти- 
ровать, перемещать, копировать, связывать, удалять и изменять права доступа 
и владельцев файлов. Кроме того, нужно знать, как искать информацию на 
тап-страницах с руководством и в /иѕг/ѕһаге/іос. Эти темы рассматриваются 
в главах 3 и 4. В главе 5 рассказывается, как редактировать и искать файлы. 


ө Управление запущенными системами. Понимание процесса загрузки пих, 
а также того, как выключать, перезагружать и переключаться на другие целевые 
объекты (ранее называемые уровнями выполнения). Необходимо идентифициро- 
вать процессы и завершать их в соответствии с запросом. Нужно уметь находить 
и интерпретировать файлы журналов. В главе 15 описывается, как менять цели 
и управлять системными службами. В главе 6 представлено больше информации 
о том, как управлять процессами и менять их. Запись событий (логирование) 
описывается в главе 13. 


® Конфигурация хранилища. Конфигурация разделов диска включает в себя 
создание физических томов и их настройку для использования менеджером 
Гоз1са[ Уоште Мапаветепі (ТУМ) или шифрования (ТОК$). Необходимо 
уметь настраивать эти разделы как файловые системы или разделы подкачки, 
которые можно монтировать или включать во время загрузки. Раздел дисков 
и менеджер ГУМ описываются в главе 12. Шифрование [ОКЗ и другие схожие 
темы рассматриваются в главе 23. 


® Создание и настройка файловых систем. Создание и автоматическая установка 
различных типов файловых систем, включая обычные файловые системы Глпих 
(ехЕ2, ехіЗ или ехё4) и сетевые файловые системы (МЕ). Создание совместных 
каталогов с помощью функции 5е-Стоир-Г. Необходимо также уметь ис- 
пользовать менеджер ГУМ и расширять размер логического тома. Файловые 
системы рассматриваются в главе 12. В главе 20 описываются файловые систе- 
мы МЕ$З. 


® Развертывание, настройка и обслуживание систем. Этот пункт охватывает 
целый ряд тем, включая настройку сети и создание задач. Необходимо уметь 
устанавливать пакеты из сети Кеа Нас Сощепе Оеіуегу Меіогк (СОМ), удален- 
ного репозитория или локальной файловой системы. Об этом рассказывается 
в главе 13. 
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Управление пользователями и группами. Необходимо уметь добавлять, уда- 
лять и изменять учетные записи пользователей и групп. Важно знать о сроках 
действия пароля и работе команды сһарве. В главе 11 приводится информация 
об управлении аккаунтами пользователей и групп. 


Управление безопасностью. Необходимо понимать основы обеспечения без- 
опасности с помощью брандмауэров (1гема11а ѕуѕет- сопҒів-Ғігена11 или 
1реаб1ез) и ЗЕПлпих. Нужно уметь настраивать $5Н для выполнения аутен- 
тификации по ключу. В главе 24 рассказывается про ЗЕ тих. Брандмауэры 
описаны в главе 25, а в главе 13 — аутентификация по ключу. 


В этой книге затрагиваются большинство необходимых для сдачи экзамена 


тем. Для изучения тех, которых нет в книге, обратитесь к документации Ве Наѓ 
(ассеѕѕ.гейһаї.сот/аоситепќайоп). Руководства по системному администрированию 
содержат множество тем, связанных с КНСЅА. 


Темы для ВНСЕ 


Экзамен ВНСЕ охватывает более продвинутую конфигурацию серверов, а также раз- 
личные функции безопасности для их защиты в Кей Наб Ещегризе Тлпих 8. Опять же 
обратитесь к сайту по КНСЕ для ознакомления с актуальными темами к экзамену. 


Настройка и управление системой. Сюда входит целый ряд тем для экзамена 
КНСЕ, включая следующие. 


Брандмауэры. Блокировка и запуск трафика на выбранные порты системы 
с такими службами, как веб, ЕТР и МЕЅ, а также блокировка и запуск доступа 
к службам на основе ІР-адреса отправителя. Брандмауэры описаны в главе 25. 


Сетевой портал аутентификации Кегђегоѕ. Использование портала Кегђегоѕ 
для аутентификации пользователей в системе ВНЕГ. 


Системные отчеты. Нужно уметь применять такие функции, как получение 
отчета об использовании системой памяти, о доступе к диску, сетевом трафике 
и загрузке процессора. Данная тема описана в главе 13. 


Скрипты оболочки. Необходимо уметь создавать простой скрипт оболочки для 
приема входных данных и получения выходных данных различными способами. 
Создание скриптов оболочки описывается в главе 7. 


Система $Е1 пих. Если система Зесигку Епһапсеа Тлпих находится в режиме 
Епѓогсіпе, убедитесь, что все конфигурации серверов, описанные в следующем 
разделе, должным образом защищены с помощью ЗЕГпих. В главе 24 пред- 
ставлена информация о ЗЕ пих. 


Система АпѕіЫе. Необходимо разбираться в основных компонентах системы 
АпѕіЫе (инвентаризациях, модулях, каталогах и т. д.). А также уметь уста- 
навливать и настраивать узел управления Апѕ1Бе, работать с ролями Ап Ые 
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и использовать расширенные функции системы. См. главу 29, где описано 
применение каталогов АпяЫе для установки систем Глпах и управления ими. 


ө Установка и настройка сетевых служб. Для каждой из сетевых служб, вошед- 
шей в следующий список, необходимо уметь устанавливать пакеты для служб, 
настраивать ЗЕГлпих, чтобы разрешить получать доступ к службе, настраивать 
запуск службы во время загрузки, защищать службу по хосту или пользователю 
(с помощью утилиты ірќаЬеѕ или функций, предоставляемых самой службой) 
и настраивать ее для базовой работы. 


ө Веб-сервер. Настройка сервера Арасһе (НТТР/НТТР$). Необходимо уметь 
создавать виртуальный хост, развертывать скрипт ССІ, использовать частные 
каталоги и разрешать конкретной группе пих управлять содержимым. В гла- 
ве 17 описывается, как настроить веб-сервер. 


өе ОМ 5-сервер. Умение настраивать ОМ5-сервер (привязка пакета) в качестве 
кэширующего сервера имен, который может пересылать О№5-запросы на другой 
ОМ 5-сервер. Настраивать главную или подчиненную зоны при этом не нужно. 
Сервер 0№5 описывается со стороны клиента в главе 14. 


® МЕЗ-сервер. Умение настраивать МЕ$-сервер для обеспечения совместного 
доступа к определенным каталогам определенным клиентским системам, чтобы 
их можно было использовать для совместной работы в группах. Тема раскрыта 
в главе 20. 


® Сервер доступа к файлам М№іпӣоуѕ. Необходимо уметь настраивать Глпих 
(ЅатђБа) для передачи специальным хостам и пользователям доступа к про- 
токолу ЗМВ, а также объединять ресурсы для совместной работы. В главе 19 
объясняется, как настроить объединенные ресурсы. 


ө Почтовый сервер. Настройка агента передачи почты розёЯх или зеп4тай для 
приема входящей почты извне локального хоста. Ретрансляция почты на другой 
сервер. Настройка почтового сервера в этой книге не рассматривается (не самая 
легкая задача). 


® $ЅН-сервер. Умение настраивать 55Н-сервер (5$ 4), который позволяет вой- 
ти в удаленную локальную систему и выполнить аутентификацию по ключу. 
Другими словами, необходима настройка файла ѕћа.соп. В главе 13 описыва- 
ется, как настроить службу $34. 


ө МТР-сервер. Настройка МТР-сервера (пёрӣ) для синхронизации времени 
с другими пирами МТР. 


® Сервер базы данных. Умение настраивать базу данных МагіарвВ и работать 
с ней. Настройка базы данных МагіарвВ описана на сайте танад.сот/КЬ/еп/Игагу/ 
аоситепѓайоп/. 


Как отмечалось ранее, на экзамене КНСЕ ставятся и другие задачи, и боль- 
шинство из них требует знаний о настройке серверов, а также их защите разными 
методами. Это могут быть и брандмауэры (ірёаБІеѕ), и система $Е пих, и любые 
другие функции, встроенные в файлы конфигурации для конкретной службы. 
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Резюме 


Тіпих — это операционная система, созданная целым сообществом разработчиков 
программного обеспечения по всему миру, во главе которого стоит основной ее 
создатель Линус Торвальдс. пих произошла из операционной системы ОМІХ, 
однако намного превзошла ее по популярности и влиянию. 

Историю операционной системы Глпих можно проследить от самых ранних 
систем МІХ, которые бесплатно поставлялись в университеты и усовершенствова- 
лись с помощью таких систем распространения, как Вегкеіеу ЗоЁхуаге О15еБавоп 
(В$О). Организация Етее ЗоЁлуаге Еоип4айоп помогла собрать множество компо- 
нентов в одну полноценную ОМІХ-подобную операционную систему. Ядро Глпих 
само по себе — это самый важный компонент системы. 

Большинство проектов по разработке ПО для Глпих защищены набором ли- 
цензий, за которым следит организация Ореп Зоигсе шШайуе. Самая популярная 
лицензия — СМО Ри Мс Глсепзе (СРТ.). Такие стандарты, как Глпиах Збап4ага Ваѕе, 
а также мировые организации и компании Глпах (например, Сапотса| 144. и Кеа 
Наѓ, пс.) позволяют Піпих продолжать оставаться стабильной и производительной 
операционной системой. 

Базовые знания о работе и администрировании системы Глпиах помогут вам при 
выполнении любых относящихся к ней задач. В следующих главах книги содер- 
жатся упражнения, с помощью которых вы можете проверить, как вы ее понимаете. 
Вот почему при прочтении книги лучше всего сразу практиковаться в системе, 
чтобы проработать все примеры и упражнения из каждой главы. 

В следующей главе мы разберем, как начать работу с Глпих, как установить и ис- 
пользовать настольную систему пих. 


Идеальный рабочий стол 
в Ипих 


В этой главе 


и Система Х Міпаоу бу$ет и среда рабочего стола. 
ш Запуск Ипих с «живого» В\О. 

и Обзор рабочего стола СМОМЕ 3. 

и Расширения для СМОМЕ 3. 

и Менеджер файлов в СМОМЕ 3. 

и Использование рабочего стола СМОМЕ 2. 

и ЗО-эффекты на рабочем столе СМОМЕ 2. 


Использовать Глпих на обычном компьютере становится все проще. Как и во всем, 
что касается Глпих, у вас есть множество вариантов выбора. Существуют как 
полнофункциональные среды рабочего стола — СМОМЕ или КПЕ, так и легковес- 
ные оболочки для компьютера, такие как [ХОЕ или ХКе. И даже простые оконные 
системы-менеджеры. 

Выбрав подходящий компьютер и запустив пах, вы поймете, что большин- 
ство приложений рабочего стола схожи с приложениями на \/т4о\$ или тасО$. 
Для тех приложений, аналогов которых нет в Глпих, можно запустить \/т4о\з- 
программу в Глпих с помощью инструментов совместимости. 

Задача данной главы состоит в том, чтобы познакомить читателя с принципами 
функционирования рабочего стола Глпих, а также дать советы по установке систе- 
мы и работе с ней. В этой главе мы: 


® пройдемся по функциям рабочего стола и технологиям Глпих; 
® обсудим главные функции среды рабочего стола СМОМЕ; 


® рассмотрим, как получить максимум от использования среды СМОМЕ. 
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Чтобы изучить все описанное в главе, я советую для практики установить си- 
стему Ее4ога. Некоторые варианты работы с Ееога. 


® Запуск Еедога с «живого» носителя. В приложении А представлена информа- 
ция о загрузке и записи Глуе-образа Еедога на РУР или ОЗВ-накопитель, чтобы 
запустить систему с оптического диска и реализовывать на практике знания, 
полученные при прочтении этой главы. 


® Полноценная установка Еейога. Установка Еейога на жесткий диск и запуск 
с него (описано в главе 9). 


Поскольку сейчас для Еейога используется интерфейс СМОМЕ 3, большин- 
ство примеров, описанных в главе, будут работать и в других дистрибутивах 
с СМОМЕЗ. Если у вас старая версия системы Ве Наї Етцегризе Глпих (в ВНЕГ 6 
применяется СМОМЕ 2, ав КНЕГ 7 и ВНЕГ. 8 — СМОМЕЗ), в книге есть описания 
и СМОМЕ 2. 


ПРИМЕЧАНИЕ 


В версии 17.10 операционной системы Џбипїи используемый по умолчанию интерфейс Џпіќу был заменен на 
СМОМЕ 3. Интерфейс Опіќу по-прежнему доступен в новых версиях системы, но уже неофициально, из репозито- 
рия Џпіуегѕе, поддерживаемого сообществом. 


Что такое рабочий стол Шпих 


Современные компьютерные рабочие столы включают в себя графические окна, 
значки и меню, которыми пользователь управляет с помощью мыши и клавиа- 
туры. Если вам меньше 40 лет, это может показаться обыденным, однако первые 
системы Піпих не имели графического интерфейса. Кроме того, множество совре- 
менных серверов Глпих, выполняющих специальные задачи (например, веб-сервер 
или файловый сервер), не имеют установленного настольного программного 
обеспечения. 

Почти все крупные дистрибутивы Глпих с интерфейсами рабочего стола осно- 
ваны на системе Х МіпӢоу Зузбет, изначально созданной в организации Х.Оге 
Еоипдайор (х.ога). Система Х \/т4о\ Зузет предоставляет собой структуру, 
на которой строятся различные типы сред рабочего стола и простые оконные 
менеджеры. Аналогом Х.Отв в стадии разработки является система \У/ау[ап4 
(мауІапа.ѓгеедеѕкїор.огд). В Еедога в качестве Х-сервера по умолчанию используется 
М’ау[ап4, однако вы можете выбрать вместо него Х.Оте. 

Система Х УЛп4до\ Зузет (или, как ее коротко называют, система Х) была 
разработана еще до появления Глпах и даже Місгоѕоќ УЛп4о\з. Она создавалась 
как легковесная оболочка компьютера для удаленной работы. 
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Система Х работает как фоновая клиент-серверная модель. Х-сервер дей- 
ствует в локальной системе и имеет интерфейс для экрана, мыши и клавиатуры. 
Х-клиенты (например, текстовые процессоры, музыкальные проигрыватели и брау- 
зеры изображений) запускаются из локальной системы или по сети при наличии 
разрешения от Х-сервера. 

Система была создана в то время, когда графические терминалы (тонкие клиен- 
ты) управляли только клавиатурой, мышью и дисплеем. А приложения, дисковое 
хранилище и вся вычислительная мощность находились на больших централи- 
зованных компьютерах. Таким образом, приложения запускались на больших 
компьютерах, но отображались и управлялись по сети на тонком клиенте. Позже 
тонкие клиенты заменили персональными настольными компьютерами. Большин- 
ство приложений для клиентов на ПК запускались локально и использовали те же 
вычислительную мощность, дисковое пространство, память и другие функции, в то 
время как те приложения, которые не запускались из локальной системы, не были 
разрешены. 

Сама система Х имеет простой серый фон и указатель мыши в виде символа Х. 
На экране Х нет меню, панелей и значков. Если бы вы запустили Х-клиент (напри- 
мер, окно терминала или текстовый процессор), он появился бы на Х-дисплее и его 
нельзя было бы переместить, свернуть или закрыть. Эти функции добавляются 
вместе с менеджером (администратором) окон. 

Менеджер окон позволяет управлять окнами на рабочем столе и меню для за- 
пуска приложений и прочих задач, для которых требуется рабочий стол. Полно- 
ценная среда рабочего стола включает в себя менеджер окон, а также меню, панели 
и обычно программный интерфейс приложений, который используется для описа- 
ния способов взаимодействия программ друг с другом. 

Итак, как же понимание принципов действия интерфейса рабочего стола по- 
может в работе с Глпих? Вот несколько вариантов. 


® Так как среда рабочего стола в Глпих не требуется для запуска самой Глпих, 
систему можно загрузить и без рабочего стола. Это будет выглядеть как ко- 
мандный интерфейс с одной строкой для ввода команды. А рабочий стол можно 
выбрать позднее. После установки системы можно указать, включать ли рабочий 
стол после загрузки компьютера или только по необходимости. 


® Для систем Глпих, предназначенных для работы на маломощных компьютерах, 
можно выбрать эффективный, хотя и менее функциональный менеджер окон 
(например, мт или 1ихбох) или легковесную оболочку рабочего стола (напри- 
мер, Г.ХОЕ или ХКе). 


© Для более мощных компьютеров можно выбрать более надежную среду рабочего 
стола (к примеру, СМОМЕ и КРЕ), которые могут наблюдать за событиями 
(допустим, за подключением ОЗВ-накопителя) и реагировать на них (например, 
открытием окна для просмотра содержимого накопителя). 


® На компьютере может быть установлено несколько сред рабочего стола, и вы 
можете выбрать, какую из них запускать при загрузке системы. Таким образом, 
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разные пользователи на одном компьютере могут задействовать разные рабочие 
СТОЛЫ. 


Для Глпих доступно множество различных сред рабочего стола на выбор. 


© СМОМЕ — одна из сред по умолчанию для Еейога, Кеа Наб Епѓегргіѕе Глпих 
и многих других. Это профессиональная среда с акцентом на стабильность, а не 
на новые забавные эффекты. 


е К "ПеѕКкіор Епуігоптепё (КЮЕ) — это вторая по популярности среда для Глпих. 
В ней гораздо больше наворотов, чем в СМОМЕ, и лучше продумана интеграция 
приложений. КЮЕ также доступна для Еейога, ОБипќи и многих других систем 
Тіпих, кроме КНЕ 8. 


® Хісе — одна из первых легковесных оболочек для рабочего стола. Она подходит 
для более старых или маломощных компьютеров. Доступна для Еедога, ОБоипіи 
и других дистрибутивов. 


ө ІХРЕ (110һеуеіеһе Х11 Реѕкеор Епуігоптепё) — быстрая и энергосберегающая 
рабочая среда. Чаще всего она используется на недорогих устройствах (к при- 
меру, нетбуках) и «живых» носителях (СО и ОЅВ). Эта среда по умолчанию 
установлена на дистрибутиве КМОРРТХ. Она недоступна на КНЕТ, но доступна 
на Еедога и ОЪапёи. 


СМО МЕ изначально был разработан как аналог рабочего стола тасО$, а КРЕ 
предназначался для эмуляции среды рабочего стола №Міпаоҗѕ. В большинстве 
процессов и упражнений, описанных в книге, используется рабочий стол СМОМЕ, 
так как это наиболее популярная среда рабочего стола, которую часто задействуют 
в бизнес-системах Глпих. А еще СМОМЕ можно применять на любых других дис- 
трибутивах Глпих. 


Запуск Редога со средой СМОМЕ 
из образа 


«Живой» 15$О-образ Глпих — это самый быстрый способ установить и запустить 
систему пих. Образ можно записать на компакт-диск, ОУР или ОЗВ-накопитель 
(это зависит от его размера) и загрузить на компьютер. С помощью «живого» об- 
раза можно временно подключить пих для управления компьютером, что не по- 
влияет на содержимое жесткого диска. 

Если у вас установлена операционная система \/т4о\з, Піпих просто проигно- 
рирует ее и возьмет компьютер под контроль. После работы с образом Глпих можно 
перезагрузить компьютер, вытащить накопитель и запустить штатную операцион- 
ную систему, установленную на жестком диске. 

Чтобы выполнять задания из книги на рабочем столе СМОМЕ, советую обзаве- 
стись РУР с дистрибутивом Еедога (информация об этом есть в приложении А). 
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Поскольку ОУО-накопитель выполняет чтение данных с диска и обработку в опе- 
ративной памяти, процесс протекает медленнее, чем при полноценно установлен- 
ной системе Глпих. Кроме того, можно изменять файлы, добавлять программное 
обеспечение и иным образом настраивать свою систему, но если не сохранить эти 
изменения на жестком диске или внешнем накопителе, то все данные будут удале- 
ны после выключения/перезагрузки. 

Это хороший вариант, чтобы попрактиковаться в Глпих, но совершенно 
не подходит, если нужна постоянная настольная или серверная система Глпих. 
По этой причине я рекомендую при наличии дополнительного компьютера 
установить полноценную систему пих на жесткий диск и применять ее, как 
описано в главе 9. 

Если у вас уже есть СО- или ОУР-накопитель, выполните следующие дей- 
СТтВиЯ. 


1. Используйте компьютер. Если у вас есть стандартный компьютер (32- или 
64-разрядный) с приводом СО/ОУ, минимум 1 Гбайт оперативной памяти 
(ВАМ) и процессором с частотой 1 ГГц, можно начинать работу. (Убедитесь, 
что загружаемый образ соответствует архитектуре компьютера — 64-разрядный 
носитель не работает на 32-разрядном компьютере. Еейога 33 и КНЕГ 8 не под- 
держивают 32-разрядные компьютеры, поэтому для работы понадобятся более 
старые версии этих дистрибутивов.) 


2. Подключите носитель СО/БУО. Подключите СО/РУО или ОЗВ-носитель 
к компьютеру и перезагрузите его. В зависимости от порядка загрузки, настро- 
енного на компьютере, «живой» образ может запускаться непосредственно из 
ВІОЅ (кода, управляющего компьютером до запуска операционной системы). 


3. Запустите Еедога. Если выбранный диск доступен, появится соответствующий 
загрузочный экран. Выделите строку ак Редога нажмите клавишу Ещег, чтобы 
запустить образ. 


4. Начинайте работу с рабочим столом. В случае с Еедога «живой» образ позволя- 
ет выбрать между установкой Еедога и ее загрузкой непосредственно с носителя 
на рабочий стол СМОМЕ 3. 


Теперь можно переходить к следующему разделу, где говорится о работе 
СМОМЕ Зв Еейога, Кеа Наї Епѓегргіѕе Тлпах и других операционных системах. 
После этого я расскажу о рабочем столе СМОМЕ 2. 


ПРИМЕЧАНИЕ 


Если вместо загрузки образа запускается штатная операционная система, необходимо во время загрузки вы- 
полнить дополнительное действие. Перезагрузите компьютер, запустите ВІ05 и найдите команду Воої Огает. 
На экране может быть указано, что при запуске компьютера нужно нажать клавишу Е12 или Е1.Быстро нажмите 
ее, находясь на экране ВІ05. После этого откроется экран с доступными вариантами. В перечне с порядком за- 
грузки выделите строку для СО/ОУР или И5В-накопителя и нажмите клавишу Епќег, чтобы загрузить «живой» 
образ. Если этой строки нет, возможно, нужно зайти в настройки ВІ05 и сменить приоритет загрузки на СО/рУр 
или 15В-накопитель. 
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Использование рабочего стола СМОМЕ 3 


Рабочий стол СМОМЕ 3 радикально отличается от СМОМЕ 2.х, своего предше- 
ственника. СМОМЕ 2.х — вариант работоспособный, а СМОМЕ 3 — элегантный. 
Рабочий стол СМОМЕ 3 больше похож на графические интерфейсы мобильных 
устройств, здесь меньший акцент делается на кнопках мыши и комбинациях кла- 
виш и больший — на движении указателя и действиях в результате одного щелчка 
кнопкой мыши. 

Он не такой жесткий и структурированный и расширяется по мере необходи- 
мости. При запуске нового приложения его значок добавляется на панель прило- 
жений. Если одно рабочее место заполнено, открывается новое, на котором можно 
разместить дополнительные приложения. 


После загрузки компьютера 


При загрузке образа на рабочем столе появится имя пользователя Глуе Зузбет Озег. 
При загрузке установленной системы на экране будут видны учетные записи поль- 
зователей, предусматривающие ввод пароля. Войдите в свою учетную запись. 

На рис. 2.1 показан пример рабочего стола СМОМЕ 3 в Еедога. Нажмите кла- 
вишу Міпаомѕ или переведите указатель мыши в верхний левый угол стола, чтобы 
переключить режим экрана с пустого на обзор стола. 


Рис. 2.1. Пример рабочего стола СМОМЕ З в Рейога 


Вначале на рабочем столе СМОМЕ 3 практически ничего нет. В верхнем левом 
углу находится кнопка Обзор (Асіїуійіеѕ), сверху посередине — часы и дата и несколько 
значков справа: звук, интернет-соединение и имя текущего пользователя. В режиме 
обзора показаны все приложения, активные окна и другие рабочие места. 
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Навигация с помощью мыши 


Воспользуйтесь мышью для навигации по рабочему столу СМОМЕ З. 


1. Переключение окон. Переместите указатель мыши в левый верхний угол 
экрана — туда, где находится кнопка Асімійеѕ (Обзор). Каждый раз, когда он там 
оказывается, экран отображает открытые окна или список доступных действий. 
(То же самое происходит при переключении с нажатой и удерживаемой клави- 
шей \Міпаомѕ.) 


2. Запуск окон с панели приложений. Щелкните на панели слева, чтобы открыть 
приложения (Еиеюх, файлы (ЕПе Мапавег), ВБутБох или другое). Снова 
переведите указатель мыши в верхний левый угол и переключитесь в другой 
режим просмотра (обзора или полноразмерного наложения). На рис. 2.2 показан 
пример экрана с миниатюрами приложений. 


Аамајез 


"ЕВЕ БИРАЧ ИСО 


Рис. 2.2. Видны все открытые окна 


3. Запуск приложений из списка. В режиме наложения нажмите кнопку Ѕћом 
Арріісайопѕ (Показать приложения) внизу слева (квадрат с девятью точками). 
Представление экрана изменится на набор значков приложений, установленных 
в системе (рис. 2.3). 

4. Просмотр дополнительных приложений. Из окна со списком приложений 
можно сменить отображение всех приложений и поменять их местами. 


= Перелистывание страниц. Чтобы увидеть приложения, которых нет на экра- 
не, используйте точки внизу, чтобы переключиться на следующую страницу. 
Можно делать это и с помощью колесика мыши. 
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ах еОке 0. 


Рис. 2.3. Все доступные приложения 


Популярные. Нажмите кнопку Ғгедџиепї (Популярные) внизу экрана, чтобы 
увидеть часто используемые приложения. Нажмите кнопку А! (Все), чтобы 
снова показать все приложения. 


Запуск приложения. Чтобы запустить приложение в действующем рабочем 
пространстве, щелкните левой кнопкой мыши на его значке. Щелчок правой 
кнопкой мыши открывает меню (рис. 2.4), в котором можно запустить при- 
ложение в новом окне, добавить приложение в Избранное (то есть приложе- 
ние появится на панели приложений) или удалить оттуда, а также показать 
информацию о приложении. 


Запуск дополнительных приложений. Запустите дополнительные прило- 
жения. Обратите внимание на то, что при открытии нового приложения на 
панели задач слева появляется его значок. Есть и другие способы запустить 
приложение. 


Через значок приложения. Щелкните на значке приложения, чтобы за- 
пустить его. 


Запуск из панели задач. В оконном режиме левой кнопкой мыши перетащи- 
те любой значок приложения с панели задач в любое из рабочих пространств 
справа. 


Использование нескольких рабочих пространств. Снова переместите мышь 
в верхний левый угол, чтобы отобразить все окна. Обратите внимание на то, что 
все приложения справа находятся на одном рабочем месте, в то время как другое 
место пусто. Перетащите несколько окон на пустое рабочее место. На рис. 2.5 
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показан пример интерфейса с несколькими рабочими местами. Дополнительное 
рабочее место будет создаваться каждый раз, когда предыдущее заполнится. 
Можно перетащить окна приложений на любое рабочее место, а затем выбрать 
само место с окнами. 


Мем/ \ММпдо\м 


Ш | Ааа {о Еахогіќеѕ 


Саіепааг Сһееѕе 


Ѕһоу Оеѓаі15 


Т2. 


Рісйопагу Ех Ға(50 Ғедога Ке\еа5... 


Рис. 2.4. Щелкните правой кнопкой мыши, чтобы открыть меню выбора приложения 


Рис. 2.5. Если используются несколько рабочих мест, переключаться между ними можно 
на панели слева 
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7. Использование меню окна. Переместите указатель мыши в верхний левый угол 
экрана, чтобы вернуться в активное рабочее пространство (вид большого окна). 
Щелкните правой кнопкой мыши на строке заголовка окна, чтобы открыть 
меню. Действия в меню: 


= Міпітіге (Свернуть) — временно скрыть окно; 
= Махітіғе (Развернуть) — открыть окно на полный размер; 


= Моуе (Переместить) — включить режим перемещения. Переместите окно 
в нужное место мышью и щелкните кнопкой, чтобы подтвердить изменение; 


= Деѕіге (Изменить размер) — включить режим изменения размера. Мышью 
измените размер окна, а затем щелкните кнопкой, чтобы подтвердить из- 
менение. 


Несколько вариантов размещения окна: выберите вариант Амауз оп Тор (Всегда 
сверху), чтобы активное окно всегда отображалось поверх других окон рабочего 
места. Выберите вариант Амауз оп \М&Ые \Могкѕрасе (Всегда на видимом рабочем 
месте), чтобы всегда показывать окно в видимом рабочем месте. Выберите 
вариант Мохе ќо \Могкзрасе Ор (Переместить на рабочее место вверх) или Моуе їо 
\Могкзрасе Ро\мп (Переместить на рабочее место вниз), чтобы переместить окно 
в рабочее место выше или ниже соответственно. 


Если вам некомфортно управлять СМОМЕ 3 мышью или у вас ее нет, далее 
в разделе мы разберем, как действовать на рабочем столе, пользуясь клавиатурой. 


Навигация с помощью клавиатуры 


Если вы предпочитаете использовать клавиатуру, СМОМЕ З позволяет выполнять 
команды непосредственно с нее несколькими способами, включая следующие. 


® Клавиша \У/тдо\$. Нажмите клавишу Міпаомѕ. На большинстве клавиатур для 
ПК клавиша с логотипом МісгоѕоЌ \У/т4о\з$ находится рядом с клавишей АК. 
Она переключает режимы просмотра с обзора на текущее рабочее место, что 
очень удобно. 


ө Выбор режима. В режиме просмотра окон или списка приложений нажмите 
и удерживайте сочетание клавиш С+АЮ+Таь, чтобы просмотреть меню режи- 
мов (рис. 2.6). Все еще удерживая клавиши С+АЁ, снова нажмите клавишу Таб, 
чтобы выделить один из значков в меню, и отпустите, чтобы выбрать режим. 


= Тор Ваг (Верхняя панель). Открывает верхнюю панель. После выбора можно 
переключаться между ее элементами (обзор, календарь и меню). 


= Р"Раѕһ (Панель приложений). Выделяет первое приложение на панели задач 
слева. Используйте клавиши со стрелками для перемещения вверх и вниз по 
меню, а затем нажмите клавишу Епќег, чтобы открыть выбранное приложение. 


= үуіпаомѕ (Окна). Открывает режим просмотра окон. 
= Арріісайопѕ (Приложения). Режим просмотра всех приложений. 
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Рис. 2.6. Нажмите сочетание клавиш С+А+ТаБ, чтобы отобразить дополнительные команды 


= беагсһ (Поиск). Выделяет область поиска. Введите несколько букв, чтобы 
отфильтровать нужные приложения. Затем нажмите клавишу Епќег, чтобы 
запустить нужное приложение. 


ө Выбор активного окна. Вернитесь к любому рабочему месту (нажмите клави- 
шу \Міпаоиѕ, если вы не в активном рабочем месте). Нажмите сочетание клавиш 
АК+ТаБ, чтобы просмотреть список всех активных окон (рис. 2.7). Удерживайте 
клавишу АЕ при нажатии клавиши Тар (или клавиш < или >), чтобы выделить 
нужное приложение из списка активных окон. Если в приложении открыты не- 
сколько окон, нажмите сочетание клавиш А+ ` (расположена над клавишей Таб), 
чтобы выбрать одно из подокон. Отпустите клавишу АК, чтобы подтвердить выбор. 


Рис. 2.7. Нажмите сочетание клавиш АЁ+ТаБ, чтобы выбрать, к какому 
из открытых приложений перейти 
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® Запустить команду или приложение. Из любого активного рабочего места 
можно запустить команду пих или приложение, например. 


= Режим приложений. В режиме обзора нажмите и удерживайте сочетание 
клавиш С+АК+ТаЬ и продолжайте нажимать клавишу Тар до тех пор, пока 
значок Арріісайопѕ (Приложения) не будет выделен, затем отпустите соче- 
тание клавиш С{+АК. Будет задействован режим АррйсаНоп$ (Приложения) 
с выделенным значком первого приложения. Используйте клавишу Тар или 
клавиши со стрелками (<, 1, фи ->), чтобы выделить значок нужного при- 
ложения, а затем нажмите клавишу Епег. 


= Командная строка. Если вам известно имя (или часть имени) необходимой 
команды, нажмите сочетание клавиш АЌ+Р2, чтобы открыть командную стро- 
ку. Введите имя команды (например, попробуйте впоте - са1си1аќог, чтобы 
открыть калькулятор). 


" Строка поиска. В режиме обзора нажмите сочетание клавиш С+АК+Таь 
и продолжайте нажимать клавишу Тар до тех пор, пока не будет выделен зна- 
чок лупы (поиск), затем отпустите сочетание клавиш Сіті +АЌ. В выделенной 
строке поиска введите несколько букв названия или описания приложения 
(выпадут различные варианты). Продолжайте печатать до тех пор, пока нуж- 
ное приложение не будет выделено (например, ЕігеЃох), и нажмите клавишу 
Епќег, чтобы запустить его. 


" Панель приложений. В режиме обзора нажмите сочетание клавиш Сті+АЌ-ТаБ 
и продолжайте нажимать клавишу Тар до тех пор, пока не будет выделен 
значок закладки (Раз! (Панель приложений)), затем отпустите сочетание 
клавиш СЕ+АК. На панели приложений используйте стрелки вверх и вниз, 
чтобы выделить нужное приложение, и нажмите клавишу Епќег. 


® Выход. Если вы не хотите выполнять то или иное действие, нажмите клавишу 
Еѕс. Например, после нажатия клавиш АР? (для ввода команды), запуска при- 
ложения с верхней панели или перехода в режим обзора клавиша Ес возвратит 
вас в активное окно на активном рабочем столе. 


Я надеюсь, что теперь вы освоились в интерфейсе СМОМЕ 3. Самое время по- 
пробовать запустить полезные и забавные приложения в СМОМЕ 3. 


Настройка рабочей среды СМОМЕ 3 


Многие настройки для СМОМЕ З реализуются автоматически. Однако для пер- 
сонализации стола все же нужно настроить СМОМЕ 3 вручную. Большинство 
необходимых настроек доступно в окне Ѕейіпдѕ (Параметры) (рис. 2.8). Найдите 
в списке приложений одноименный значок. 

Несколько советов по настройке рабочего стола СМОМЕ 3. 


® Настройка интернет-соединения. Проводное сетевое соединение чаще всего 
настраивается автоматически при загрузке системы Еейога. Для настройки 
беспроводной связи выберите из списка подходящий вариант и введите пароль. 
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Значок на верхней панели позволяет выполнить настройку проводной или бес- 
проводной сети. Дополнительную информацию о настройке сети см. в главе 14. 

ө Вшеюой-соединение. Если на вашем компьютере установлен ВТаебоо- 
модуль, то его можно связать с другими устройствами Вшебоо, например 
с Вшеюоо -гарнитурой или принтером. 

өе Устройства. В окне 5е тд (Параметры) можно подключить и настроить кла- 
виатуру, мышь, сенсорную панель, принтеры, съемные носители и т. д. 

ө Звук. Перейдите на вкладку 5оипа (Звук), чтобы настроить устройства записи 
и вывода звука в системе. 
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Рис. 2.8. Настройки рабочего стола в окне Ѕеїіпдѕ (Параметры) 


Расширения для рабочего стола СМОМЕ 3 


Если в оболочке СМОМЕ 3 есть не все, что вам нужно, не отчаивайтесь. Всегда 
можно добавить к рабочему столу расширения и дополнительные возможности. 
Кроме того, инструмент под названием СМОМЕ Туеакѕ позволяет менять рас- 
ширенные настройки в СМОМЕ З. 


Расширения для СМОМЕ 


Расширения для оболочки СМОМЕ позволяют изменять внешний вид и поведение 
рабочего стола. В браузере Еігеѓох зайдите на сайт расширений ехїепѕіопѕ.дпоте.огд. 
На сайте показано, какие расширения вы уже установили и какие из них доступны. 
(Необходимо установить дополнение к браузеру и разрешить сайту просматривать 
расширения на рабочем столе.) 
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Страница расширений отображает только совместимые с вашей версией систе- 
мы доступные приложения. Многие расширения позволяют добавить некоторые 
полезные функции из СМОМЕ 2. 


® АррИсайоп$ Мепи. Добавляет на верхнюю панель меню приложений в духе 
СМОМЕ 2. 


ө Р|асез Збаби$ шсатог. Добавляет индикатор состояния системы, аналогичный 
меню Р!асез (Места) в СМОМЕ 2, чтобы быстрее перемещаться к полезным 
папкам системы. 


® \Уіпдоу 15. Добавляет на верхнюю панель список активных окон, аналогичный 
списку на нижней панели в СМОМЕ 2. 


Чтобы активизировать загруженное расширение, установите переключатель, 
расположенный рядом с его именем, в положение ОМ. Или можно щелкнуть кноп- 
кой мыши на имени расширения в списке, чтобы просмотреть страницу расшире- 
ния, и уже на ней установить переключатель в положение ОЕҒ или ОМ. Нажмите 
кнопку Ромпіоаа (Скачать), чтобы загрузить и установить новое расширение. Затем 
оно будет добавлено на рабочий стол. 

Нарис. 2.9 показан интерфейс с меню Арріісайопѕ (Приложения) и Ріасеѕ (Места) 
(раскрыто, показаны каталоги). 
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Рис. 2.9. Расширения добавляют новые функции рабочему столу СМОМЕ 3 


Для оболочки СМОМЕ доступны свыше 100 расширений, и постепенно по- 
являются все новые. К популярным расширениям относятся М№оііћсабіопѕ АІеге 
(уведомляет о непрочитанных сообщениях), Ргеѕепіайоп Мо4е (предотвращает 
включение заставки во время презентации) и Миѕіс Пцеэтайоп (интегрирует 
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музыкальные плееры в СМОМЕ 3, чтобы можно было получать информацию о вос- 
производимых песнях). 

Поскольку сайт ехіепѕіопѕ.дпоте.огд позволяет отслеживать имеющиеся рас- 
ширения, перейдите на вкладку Іпѕїаей ехѓепѕіопѕ в верхней части страницы, чтобы 
увидеть все установленные расширения. Здесь можно отключать и включать рас- 
ширения и даже удалять их. 


Дополнительные настройки Споте 


Если вам не подходят некоторые встроенные функции СМОМЕ 3, их можно из- 
менить с помощью инструмента СМОМЕ Тмеак Тоо! (Дополнительные настройки 
СМОМЕ.). Этот инструмент не устанавливается по умолчанию вместе с Еейога, но 
его можно добавить с помощью пакета впоте -меакѕ (см. главу 10, где рассказано, 
как устанавливать программное обеспечение в Еейога). После установки инстру- 
мента на экране приложений появится значок СМОМЕ Тмеак Тоо! (Дополнительные 
настройки СМОМЕ.). Начните с категории Тор Баг (Верхняя панель), чтобы на- 
строить верхнюю панель. На рис. 2.10 показан раздел Арреагапсе (Внешний вид) 
приложения СМОМЕ Тмеак Тос! (Дополнительные настройки СМОМЕ). 
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Рис. 2.10. Измените настройки рабочего стола с помощью приложения СМОМЕ Тмеак Тос! 
(Дополнительные настройки СМОМЕ) 
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Если шрифт слишком мелкий, выберите категорию Роп (Шрифты) и нажмите 
кнопку + рядом с полем Ѕсаііпо Расог (Коэффициент масштабирования), чтобы 
увеличить размер шрифта. Можно также установить определенный шрифт для 
документов, интерфейса и моноширинного текста. 

В разделе Тор Баг (Верхняя панель) можно изменить способ отображения вре- 
мени и даты. Чтобы изменить внешний вид рабочего стола, выберите категорию 
Арреагапсе (Внешний вид) и выберите нужную тему значков, приложений и указа- 
телей мыши. 


Работа с приложениями 


Еейога СМОМЕ З 4езКвор Пуе РУО включает в себя классные приложения, с ко- 
торыми сразу можно начать работать. Чтобы использовать СМОМЕ 3 постоянно, 
следует установить на жесткий диск необходимые приложения (текстовый про- 
цессор, графический редактор, приложение для рисования и т. д.). В следующих 
разделах будут описаны интересные приложения, с которых можно начать. 


Управление файлами и папками с помощью 
файлового менеджера 


Для перемещения, копирования, удаления, переименования файлов и папок 
и других действий с ними в СМОМЕ З можно применять файловый менеджер Ейез 
(Файлы), также известный как Маи аз. Он добавлен в рабочую среду СМОМЕ 
и работает так же, как и другие файловые менеджеры, которые есть в \п4о\$ 
и шасО5. 

Чтобы открыть менеджер, щелкните кнопкой мыши на значке Ейез (Файлы) на 
панели приложений или в списке приложений. В вашей учетной записи есть набор 
папок, в которых хранятся наиболее распространенные типы файлов: Мияс, Рісішгеѕ, 
Міаеоѕ и др. Все они находятся в каталоге Ноте. На рис. 2.11 показана папка Ноте, 
открытая в программе Ее$ (Файлы). 

Файлы, скачанные из Интернета или созданные, к примеру, с помощью тексто- 
вого редактора, можно сохранить в этих папках. По мере необходимости можно 
создавать новые папки, перетаскивать, копировать и удалять файлы и папки. 

Поскольку программа ВіІеѕ (Файлы) не сильно отличается от большинства 
файловых менеджеров из других ОС, в этой главе мы не будем рассматривать ее 
подробно. Но все же я хочу отметить несколько полезных и не всегда очевидных 
возможностей, имеющихся у программы Ее (Файлы). 


® Домашняя папка. У пользователя есть полный доступ к файлам и папкам, на- 
ходящимся в домашней папке. Большинство других уголков файловой системы 
недоступны обычному пользователю. 
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Рис. 2.11. Управление папками и файлами происходит 
в программе Ейез (Файлы) 


® Организация файловой системы. Можно предположить, что в файловой систе- 
ме каталог Ноте отображается под именем /һоте, однако он носит имя учетной 
записи пользователя, например /һоте/1іуеиѕег или /һоте/сһгіѕ. В следующих 
главах вы узнаете, как организована файловая система (особенно в отношении 
командной оболочки Гіпих). 


® Управление файлами и папками. Щелкните правой кнопкой мыши на файле 
или папке, чтобы открыть список доступных действий, например скопировать, 
вырезать, переместить в корзину (удалить) или открыть объект. 


® Создание папок. Чтобы создать новую папку, щелкните правой кнопкой мыши 
в окне папки и выберите команду №е\ Ео|4ег (Создать папку). Введите новое 
имя папки и нажмите клавишу Епќег. 


® Доступ к удаленным папкам. Программа Ейе$ (Файлы) позволяет отображать 
содержимое как локальной файловой системы, так и удаленных серверов. В окне 
программы Ейез (Файлы) выберите пункт Оһег Госайопѕ (Другие места) на па- 
нели слева. В появившемся окне можно подключиться к удаленному серверу 
через протоколы ЅЅН (ѕесиге зБе|), ЕТР (с авторизацией и без), сети Ұіпаоҳѕ, 
М’еБЛау (НТТР) и Ѕесиге ҰеЬрау (НТТР5). При необходимости введите ло- 
гин и пароль пользователя — и все содержимое удаленного сервера появится 
в окне программы Е1ез (Файлы). На рис. 2.12 показан пример окна программы 
Еіеѕ (Файлы) с запросом пароля для входа на удаленный сервер по протоколу 
ЭЗН ($51://192.168.122.81). 
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Рис. 2.12. Доступ к удаленным папкам 
в окне программы Ейез (Файлы) 


Установка дополнительного ПО и управление им 


Операционная система Еейога включает в себя браузер (Еігеѓох), файловый мене- 
джер Еіеѕ (Файлы) и еще несколько популярных приложений. Однако существует 
множество других полезных приложений, которые просто не поместились бы 
в дистрибутив из-за своего размера. Если вы установили операционную систему 
Еедога на жесткий диск (как описано в главе 9), вам почти наверняка понадобится 
добавить еще какое-нибудь программное обеспечение. 


ПРИМЕЧАНИЕ 


Можно установить программное обеспечение и в системе, запущенной в «живом» режиме. Однако имейте в виду, 
что ресурсы виртуальной памяти (03У) сильно ограничены. Кроме того, после перезагрузки системы все, что вы 
установили, будет удалено. 


Операционная система Еейога автоматически подключается к огромному хра- 
нилищу (репозиторию) программного обеспечения Ее4ота в Интернете. Через Сеть 
можно загрузить и установить любой из тысяч пакетов ЕеЧога. 

Хотя весь механизм управления программным обеспечением в Еейога (уит 
и грт) будет подробно описан лишь в главе 10, уже можно что-нибудь установить. 
Откройте список приложений и запустите приложение 5оймаге (Центр приложе- 
ний) (рис. 2.13). 
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Рис. 2.13. Скачивайте и устанавливайте программное обеспечение 
из огромного репозитория Гедога 


Ищите нужные приложения, указав название в поле поиска (нажмите кнопку 
в виде лупы в левом верхнем углу) или выбрав подходящую категорию. Во всех 
категориях находятся пакеты приложений, отсортированные по подкатегориям. 

Щелкните на значке подзорной трубы в левом верхнем углу, затем введите 
название нужного программного обеспечения. На странице любого приложения 
можно прочитать его описание. Чтобы установить приложение, нажмите кнопку 
Тп&а! (Установить). 

Теперь, установив нужные приложения, можно еще эффективнее использовать 
систему. Дополнительную информацию о том, как в Еейога и Кеа Наг Епѓегргіѕе 
Тіпих добавлять репозитории ПО и применять команды ап, ушт и гр, чтобы ими 
управлять, см. в главе 10. 


Воспроизведение музыки с помощью КАуИтБох 


ВБуфтБох — это музыкальный плеер, установленный в операционной системе 
Ее4ога. Вы можете запустить его в интерфейсе СМОМЕ З и воспроизводить му- 
зыкальные СО, подкасты и радиошоу из Интернета. Можно также прослушивать 
аудиофайлы в форматах УАУ и Ове \Уот1$ и добавлять плагины для поддержки 
МРЗ и других аудиоформатов. 

На рис. 2.14 показано окно КВуфитрох, воспроизводящего интернет-радио- 
станцию. 

Как можно использовать Ку тьох. 


ө Радио. Перейдите на вкладку Вадю (Радио) на панели Ыбгагу (Фонотека) и вы- 
берите радиостанцию из списка справа. 
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Рис. 2.14. Слушайте музыку, подкасты и интернет-радио 
с помощью Вһућтбох 


® Подкасты. Найдите подкаст в Интернете и скопируйте его ОКІ -адрес. Перейдите 
на вкладку Роаса (Подкасты), в правой части окна щелкните правой кнопкой 
мыши и выберите пункт №\м Ройсаѕї Ғееа (Добавить ленту подкастов). Вставьте 
или введите ОКІ -адрес подкаста и нажмите кнопку Рипа (Поиск). Ниже появит- 
ся список подкастов с выбранного сайта. Дважды щелкните на нужном подкасте, 
чтобы прослушать его. 

® Музыкальные диски. Вставьте оптический диск в привод компьютера и нажми- 
те кнопку воспроизведения, когда он отобразится в окне программы Вћуіћтђох. 
ВБутьох может копировать и записывать аудио на СО. 


® Аудиофайлы. Программа ВвутБох может проигрывать файлы форматов 
УАУ и Оре УогЫѕ. С помощью дополнительных плагинов можно воспроизво- 
дить множество других форматов, включая МРЗ. Поскольку с форматом МРЗ 
связаны проблемы с авторскими правами, возможность воспроизведения 
МРЗ-файлов не включена в Еейога по умолчанию. В главе 10 рассказывается, 
как установить необходимое программное обеспечение, которого нет в репози- 
тории вашего дистрибутива Глпих. 


Существуют плагины для КћҺуіһтБох, которые подгружают из Интернета об- 
ложки дисков, информацию об исполнителях, тексты песен, а также добавляют 
поддержку музыкальных сервисов (например, Гаѕі іт и Марпаќипе). 
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Отключение рабочего стола СМОМЕ 3 


После завершения работы в СМОМЕ 3 нажмите кнопку со стрелкой вниз в правом 
верхнем углу. Там находится кнопка включения/выключения, которая позволяет 
выйти из системы или, не выходя из нее, переключиться на другую учетную запись 
пользователя. 


Использование рабочего стола СМОМЕ 2 


Рабочий стол СМОМЕ 2 — это стандартный интерфейс рабочего стола в Кеа Наѓ 
Епќегргіѕе Піпих 6. Он наиболее известный, максимально стабильный, но при этом 
довольно скучный. 

Интерфейс СМОМЕ 2 включает в себя стандартные меню, панели, значки 
и рабочие места. Если у вас установлена система Кеа На Епбегризе Піпих, ВНЕГ. 
6 или более устаревший дистрибутив Еейога или ОБапи, то, вероятно, вы при- 
меняете именно рабочий стол СМОМЕ 2. Далее я расскажу о нем, а также о том, 
как его можно улучшить. СМОМЕ 2 включает в себя ЗО-эффекты (см. подраздел 
«Добавление ЗО-эффектов с помощью АТСТ.Х» далее в этой главе). 

Перечислю компоненты, из которых состоит рабочий стол СМОМЕ. 


ө Меѓасіќу (оконный менеджер). Оконный менеджер для СМОМЕ 2, устанавли- 
ваемый по умолчанию. Меќѓасісу позволяет управлять темами рабочего стола, 
рамками окон и элементами управления на рабочем столе. 


® Сотріх (оконный менеджер). Отображает Зр-эффекты для рабочего стола. 


ө Мациш$ (файловый менеджер/графическая оболочка). При открытии пап- 
ки (например, двойным щелчком кнопкой мыши на значке Ноте на рабочем 
столе) Мац [$ раскрывает ее содержимое. Он может также отображать другие 
типы содержимого, например содержимое общих папок всех компьютеров сети 
(с помощью МВ). 


® Панели (запуск приложений/задач). Панели, расположенные в верхней 
и нижней частях экрана, предназначены для удобного запуска приложений 
и управления ими, а также для работы с несколькими виртуальными рабочими 
столами. По умолчанию верхняя панель содержит кнопки меню (Арріісайопѕ 
(Приложения), Р!асез (Переход) и Ѕуѕќет (Система)), значки приложений 
(электронная почта Еуо[и@юоп и браузер Еігеѓох), переключатель рабочих 
мест (можно управлять четырьмя виртуальными рабочими столами) и часы. 
На панели появляются разного рода уведомления, если необходимо обновить 
программное обеспечение или обнаружена проблема. На нижней панели на- 
ходятся кнопка Ѕћом БезКюр (Показать рабочий стол), списки окон, корзина 
и переключатель рабочих мест. 


ө Область рабочего стола. Здесь расположены окна и значки. Контент можно 
перетаскивать между приложениями. В области рабочего стола также доступ- 
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ны меню рабочего стола (щелкните правой кнопкой мыши, чтобы увидеть его) 
и значки запущенных приложений. Значок компьютера дает доступ к приводу 
компакт-дисков, дисководам, файловой системе и общим сетевым ресурсам. 


СМОМЕ включает в себя также набор окон Ргеѓегепсеѕ (Параметры), которые 
позволяют настраивать различные аспекты рабочего стола. Можно изменять фон, 
цвета, прифты, сочетания клавиш и другие функции, связанные с внешним видом 
и поведением рабочего стола. На рис. 2.15 показано, как выглядит среда рабочего 
стола СМОМЕ 2 с запущенными приложениями после авторизации пользователя. 
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Рис. 2.15. Среда рабочего стола СМОМЕ 2 


Здесь показан рабочий стол в Вей Наё Епѓегргіѕе Тлпих. В следующих разделах 
мы подробно рассмотрим интерфейс СМОМЕ 2. 


Использование Меѓасіќу 


Менеджер окон МеасКу, по-видимому, был выбран для СМОМЕ из-за простоты 
его применения. Создатель МеасКу называет его «скучным менеджером окон для 
взрослого внутри нас» и сравнивает с другими менеджерами, говоря, что они — 
красочные сладкие мюсли, а Мефастбу — серая овсянка. 


ПРИМЕЧАНИЕ 


Если вас интересуют 30-эффекты, лучше всего использовать менеджер Сотріг, о котором будет рассказано далее 
В этой главе. В Меќасіќу же эффектов нет, онлишь позволяет эффективно работать. Темы, цвета и оформление окон 
для Меќасіїу можно изменить в настройках СМОМЕ (описано ниже). 
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Основные и интересные функции МеасКу — это сочетания клавиш (табл. 2.1) 


и переключатель рабочих мест. 


Таблица 2.1. Сочетания клавиш 


Сочетание клавиш Действие 

Ак+ЅЫ+Еѕс Вернуться назад, без всплывающих подсказок 
АК+Сє1+5Һ+ТаЬ Вернуться к предыдущей панели 

Езс Закрыть меню 


С менеджером окон можно использовать и другие сочетания клавиш. Выберите 


команду меню Ѕуѕіет > Ргеѓегепсеѕ > Кеубоага Ѕһогїсиќѕ (Система » Параметры > Ком- 
бинации клавиш клавиатуры), чтобы увидеть весь список. 


Показывать диалог запуска программы панели. Чтобы ввести команду запуска 
приложения по его имени, нажмите сочетание клавиш АЌ+Е2. В появившемся 
диалоговом окне введите название программы и нажмите клавишу Ещег. Напри- 
мер, введите вед1+, чтобы запустить простой графический текстовый редактор. 


Заблокировать экран. Чтобы заблокировать экран, нажмите сочетание клавиш 
СЕТА. Чтобы разблокировать его, понадобится ввести пароль. 


Вызов главного меню. Чтобы открыть меню Арріісайопѕ (Приложения), Р!асез 
(Переход) или Ѕуѕіет (Система), нажмите сочетание клавиш АК+Е1. Затем на- 
жимайте клавиши 1 и } для выбора из текущего меню или клавиши < и > для 
выбора подменю. 


Получить снимок экрана. Нажмите клавишу Рип Ѕсгееп, чтобы сделать снимок 
экрана. Нажмите сочетание клавиш АЇЄ+Ргіпё Ѕсгееп, чтобы сделать снимок окна, 
а не всего экрана. 


Еще одна интересная функция МеасКу — переключатель рабочих мест. На па- 


нели СМОМЕ 2 отображаются четыре виртуальных рабочих места в виде переклю- 
чателя. С его помощью можно выполнять следующие действия. 


Выбрать текущее рабочее место. Переключатель содержит четыре виртуаль- 
ных рабочих места. Выберите одно из них в качестве текущего. 


Переместить окна в другое рабочее место. Выберите любое окно на одном ра- 
бочем месте и перетащите в другое. Аналогично можно перетащить приложение 
из списка окон в другое рабочее место. 


Добавить рабочие места. Щелкните правой кнопкой мыши на переключателе 
рабочих мест и выберите пункт Ргеѓегепсеѕ (Параметры). Здесь можно добавить 
рабочие места — до 32 штук. 


Присвоить имя рабочему месту. Щелкните правой кнопкой мыши на пере- 
ключателе рабочих мест и выберите пункт Ргеѓегепсеѕ (Параметры). Щелкните 
в диалоговом окне на имени рабочего места, чтобы изменить его. 


Здесь можно просматривать и изменять информацию об элементах управления 


и настройках МеасКу с помощью окна рсоп#-ейіќог (введите всоп+-еа1*ог в окне 
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терминала). Изменять настройки данным способом не рекомендуется — лучше ис- 
пользовать окно настройки СМОМЕ 2. Однако команда всоп#-ейіог — хороший 
способ ознакомиться с описаниями каждой функции Меќасіу. 

В окне всоп#-еді+ог выберите аррз » теїасіїу, а затем депега!, діоба!_кеубіпаіпдѕ, 
Кеупатд$_соттапа$, міпаом Кеубіпаіп95 и могкѕрасе патеѕ. Щелкните на каждом 
ключе, чтобы увидеть его значение и описание. 


Изменение внешнего вида СМОМЕ 


Чтобы изменить общий внешний вид рабочего стола СМОМЕ, откройте меню 
Ѕуѕіет № Ргеѓегепсеѕ (Система > Параметры) и выберите подходящий пункт. 


® Ттһете (Тема). Для СМОМЕ 2 доступны темы, которые меняют цвета, значки, 
шрифты и другие аспекты рабочего стола. В СМОМЕ встроено несколько тем, 
также их можно скачать из Интернета. 


® Васкогоџпа (Фон рабочего стола). Чтобы изменить фон, выберите из списка 
подходящий, а также выберите стиль. Чтобы установить собственный фон, по- 
местите его в систему, например загрузите в папку Рісіигеѕ из Интернета. Затем 
добавьте изображение из папки, нажав соответствующую кнопку. 


® Ғопї (Шрифт). Можно выбрать разные шрифты для приложений, документов, 
рабочего стола и заголовков окна. 


Панели в СМОМЕ 


Панели СМОМЕ расположены в верхней и нижней частях рабочего стола. Из них 
можно запускать приложения (с помощью клавиатуры или мыши), просматривать, 
какие программы активны, отслеживать, как работает система. Можно также из- 
менить верхнюю и нижнюю панели, например добавив другие приложения или 
мониторы либо изменив расположение или поведение панели. 

Щелкните правой кнопкой мыши на любом пустом месте панели, чтобы открыть 
контекстное меню. На рис. 2.16 показано меню верхней панели. 


АФ Ө 40 ѕпос24,10:40Рм Сһгіѕ Медиѕ 


вае) 


Ргореез 
реІеѓе Тһіѕ Рапе! 


Мем Рапе! 


Неір 
Ароиї Рапе!5 


Рис. 2.16. Контекстное меню панели СМОМЕ 
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На панели СМОМЕ можно выбрать различные меню и выполнять различные 
команды. 


® Открывать меню: 


= меню Арріісайопѕ (Приложения) дает возможность запускать различные при- 
ложения и системные утилиты; 


= меню РіІасеѕ (Переход) позволяет перейти в нужный каталог или требуемое 
устройство, например в папку рабочего стола, домашнюю папку, на съемный 
накопитель или в сетевое расположение; 


= меню бумет (Система) дает возможность изменять пользовательские и си- 
стемные настройки, а также получить информацию о СМОМЕ. 


ө Выполнять команды из контекстного меню: 


= дааќо Рапе! (Добавить на панель) позволяет добавить на панель приложение, 
меню, кнопку запуска и др.; 


= Ргорегііеѕ (Свойства) дает возможность изменить положение, размер и свой- 
ства фона панели; 


= Оаве Тһіѕ Рапе! (Удалить эту панель) позволяет удалить текущую панель; 
= Мем Рапе! (Создать панель) позволяет добавить панели на рабочий стол. 


Можно также изменять элементы на панели. 


ө Перенос элементов. Чтобы переместить элемент на панели, щелкните на нем 
правой кнопкой мыши, в контекстном меню выберите пункт Мохе (Переме- 
стить) и перетащите элемент на новое место. 


е Изменение размера элементов. Можно изменять размер некоторых элементов, 
например списка окон: нажав и удерживая кнопку мыши на краю, растяните 
список до нужного размера. 


® Использование списка всех открытых окон. Задачи, выполняемые на рабочем 
столе, отображаются в списке открытых окон. Щелкните на задаче, чтобы свер- 
нуть или развернуть ее. 


В следующих разделах описано, что еще можно сделать с помощью панели 
СМОМЕ. 


Меню Арріісайопѕ (Приложения) и 5у$&ет (Система) 


Откройте меню Арріісайопѕ (Приложения) — и вы увидите категории приложений 
и системных утилит, которые можно запустить. Щелкните кнопкой мыши на 
приложении, которое нужно запустить. Чтобы запускать какое-либо приложение 
с панели, перетащите его значок из меню на панель. 

В меню СМОМЕ 2 можно добавлять различные элементы. Для этого щелкните 
правой кнопкой мыши на любом меню на панели и в контекстном меню выберите 
пункт Еа Мепиѕ (Изменить меню). Появившееся окно позволяет добавлять или 
удалять элементы, связанные с приложениями и системными меню. Можно также 
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добавить кнопки для запуска нового приложения, нажав кнопку №м Нет (Новый 
элемент) и указав имя, команду и комментарий. 


Добавление апплетов 


Можно запустить несколько небольших приложений, называемых апплетами, 
непосредственно на панели СМОМЕ. Они могут отображать информацию, не- 
обходимую постоянно или просто для развлечения. Чтобы отобразить доступные 
апплеты и добавить их на панель, выполните следующие действия. 


1. Щелкните правой кнопкой мыши на пустом пространстве на панели и откройте 
контекстное меню. 


2. Выберите команду Ада ќо Рапе! (Добавить на панель). Появится одноименное 
диалоговое окно. 


3. Выберите из предложенных необходимые апплеты, к примеру часы, поиск 
в словаре, трекер инвестиций или прогноз погоды. Они появятся на панели. 


На рис. 2.17 показаны (слева направо) апплеты в виде глазок, системного мо- 
нитора, трекера инвестиций, терминала и игры «рыбка». 


СО № оғ м с 


Рис. 2.17. Панель позволяет размещать апплеты 


После установки апплета щелкните на нем правой кнопкой мыши, чтобы про- 
смотреть доступные параметры. Например, выбрав пункт Ргеѓегепсеѕ (Параметры) 
для апплета трекера инвестиций, можно настроить отслеживание цен на интерес- 
ные акции. Чтобы переместить апплет на панели, щелкните на нем правой кнопкой 
мыши, выберите пункт Мохе (Переместить), перетащите его в нужное место и щелк- 
ните кнопкой мыши, чтобы подтвердить выбор. 

Чтобы убрать апплет с панели, щелкните на нем правой кнопкой мыши и выбе- 
рите команду Ветоме Ргот Рапе! (Удалить с панели). Значок апплета исчезнет с нее. 
Если на панели не хватает места, можно добавить новую панель в другую часть 
экрана, как будет описано в следующем разделе. 


Добавление панелей 


Если на верхней или нижней панели не хватает места, можно добавить на рабочий 
стол еще несколько панелей. В СМОМЕ 2 можно установить несколько панелей 
сразу: сверху, снизу, слева и справа. Чтобы добавить панели, сделайте следующее. 


1. Щелкните правой кнопкой мыши на пустом пространстве панели, чтобы от- 
крыть контекстное меню. 
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2. Выберите пункт № м Рапе! (Создать панель). Сбоку на экране появится новая 
панель. 


3. Щелкните правой кнопкой мыши на пустом пространстве новой панели и вы- 
берите пункт Ргорешез (Свойства). 


4. В окне настроек выберите ориентацию панели (сверху, снизу, слева и справа). 


На новую панель можно добавить апплеты или значки приложений, как и на 
основную. Чтобы удалить панель, щелкните на ней правой кнопкой мыши и в меню 
выберите пункт Раее Тһіѕ Рапе! (Удалить эту панель). 


Добавление значков приложений 


На панель добавлены значки браузера и приложений Осе. Можно добавить 
и другие значки для запуска приложений с панели. 


1. Щелкните правой кнопкой мыши на пустом пространстве панели, чтобы от- 
крыть контекстное меню. 


2. Выберите команду Ада їо Рапе! (Добавить на панель). Появится одноименное 
диалоговое окно. 


3. Выберите пункт Арріісайоп Гаипсћег (Запуск приложений) и нажмите кнопку М№ехї 
(Далее). Появятся все категории приложений из меню Арріісайопѕ (Приложения) 
и бу$ет (Система). 


Нажмите на стрелку рядом с нужной категорией, чтобы раскрыть ее, выберите при- 
ложение и нажмите кнопку Ада (Добавить). Значок приложения появится на панели. 
Чтобы запустить приложение, щелкните кнопкой мыши на его значке на панели. 

Если нужного приложения в меню Арріісайопѕ (Приложения) или 5умет (Си- 
стема) нет, можно самостоятельно создать кнопку запуска следующим образом. 


1. Щелкните правой кнопкой мыши на пустом пространстве панели, чтобы от- 
крыть контекстное меню. 


2. Выберите команду Ада їо Рапе! (Добавить на панель). Появится одноименное 
диалоговое окно. 


3. Выберите пункт Сиѕіот Арріісайоп Гаипсћег (Пользовательская кнопка запуска) 
и нажмите кнопку Ада (Добавить). Появится окно Сгеае Іаипсћег (Создать кноп- 
ку запуска). 

4. Для создания кнопки запуска введите следующие данные. 


= Туре (Тип). Выберите один из вариантов: Арріісайоп (Приложение) (обычное 
СО1-приложение) или Арріісайоп іп ТегтіпаІ (Приложение в терминале). Вто- 
рой вариант подходит для символьных и псигѕеѕ-приложений. (Приложения, 
написанные с помощью библиотеки псигѕеѕ, запускаются в окне терминала, 
в них доступно также управление с помощью мыши и клавиатуры.) 


=" Мате (Имя). Присвойте кнопке запуска имя. (При наведении указателя 
мыши на кнопку будет отображаться всплывающая подсказка с ее именем.) 
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= Соттапа (Команда). Укажите команду, которая будет выполняться при за- 
пуске приложения. Введите полный путь и все необходимые параметры. 


= Соттепї (Комментарий). Введите описание приложения. (Также будет ото- 
бражаться во всплывающей подсказке при наведении указателя мыши на 
значок.) 


5. Нажмите кнопку № Ісоп (Нет значка), выберите одно из предложенных изо- 
бражений и нажмите кнопку ОК. Можно также загрузить файл значка с диска. 


6. Нажмите ОК. 


Приложение появится на панели. Щелкните на значке, чтобы запустить при- 
ложение. 


ПРИМЕЧАНИЕ 


Все виды значков для приложений содержатся в каталоге /иѕг/ѕһаге/ріхтарѕ в форматах Р№С и ХРМ. Если в ката- 
логе нет нужного значка, создайте собственный (в одном из этих двух форматов) и назначьте приложению. 


Добавление ящиков 


Ящик (Яғахоет) — это утилита, похожая на панели, которая позволяет создавать 
стеки из меню, апплетов и кнопок запуска. По сути, любой элемент, который можно 
добавить на панель, можно добавить и вящик. Поместив ящик на панель СМОМЕ, 
можно создать стек из нескольких апплетов и кнопок запуска, чтобы сэкономить 
пространство на панели. Откройте ящик, чтобы показать все находящиеся в нем 
апплеты и кнопки запуска. 

Для добавления ящика на панель щелкните правой кнопкой мыши на пустом 
пространстве панели, чтобы открыть контекстное меню, и выберите пункт Ада ќо 
Рапе! (Добавить на панель). Появится одноименное диалоговое окно. Выберите 
пункт Огамег (Ящик) и нажмите кнопку Ада (Добавить). Новый ящик появится 
на панели. Щелкните на нем правой кнопкой мыши, чтобы открыть контекстное 
меню, и выберите пункт Аай їо Огамег (Добавить в ящик), чтобы добавить в ящик 
апплеты и кнопки запуска. Щелкните на значке ящика еще раз, чтобы закрыть его. 

На рис. 2.18 показана часть панели с открытым окном ящика, в котором нахо- 
дятся значки игры в «рыбку», кнопки выключения компьютера и глазки. 


Рис. 2.18. Кнопки запуска и апплеты, добавленные в ящик на панели в СМОМЕ 2 
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Изменение параметров панели 


У панелей рабочего стола можно изменить ориентацию, размер, режим сворачива- 
ния и фон. Чтобы открыть окно Рапе! Ргорейіеѕ (Свойства панели), щелкните правой 
кнопкой мыши на пустом пространстве панели и выберите в контекстном меню 
пункт Ргорегііеѕ (Свойства). В окне Рапе! Ргорегііеѕ (Свойства панели) находятся 
элементы управления настройками панели, включая следующие. 


© ОпептаНоп (Ориентация). Переместите панель в другое место на экране, выбрав 
один из вариантов. 


® біғе (Размер). Выберите размер панели, указав высоту в пикселах (по умолчанию 
установлено 24 пиксела). 


® Ехрапа (Расширять до предела). Установите этот флажок, чтобы панель раскры- 
лась на всю длину, или сбросьте его, чтобы масштабировалась в зависимости от 
количества элементов на ней. 


® лиоНюе (Автоматически скрывать). Выберите, скрывать ли панель автоматиче- 
ски (появляется только при наведении указателя мыши на край экрана). 


® пом Ніде БиКопз (Показывать кнопки сокрытия). Выберите, скрывать или по- 
казывать кнопки сокрытия по краям панели. 


© Аггом5 оп Нае биќопѕ (Показывать стрелки на кнопках сокрытия). Если установ- 
лен флажок Ѕһом Нае Бийопѕ (Показывать кнопки сокрытия), то можно добавить 
стрелки на эти кнопки. 


® Васкогоипа (Фон). На этой вкладке можно выбрать цвет панели, наложить на нее 
растровое изображение или оставить вариант по умолчанию (текущая систем- 
ная тема). Чтобы использовать изображение в качестве фона панели, установите 
переключатель в положение Васкогоип4 Ітаде (Фоновое изображение), затем 
выберите изображение, например, из каталога /изг/зПаге/басквгоипа$ /+11ез 
или любого другого. 


СОВЕТ 


Обычно я включаю функцию автоматического сокрытия и отключаю кнопки сокрытия. Автоматическое сокрытие 
позволяет экономить место на рабочем столе. При наведении указателя мыши на край экрана панель автомати- 
чески всплывает, поэтому кнопки не нужны. 


Добавление 30-эффектов с помощью АІСІХ 


В последние годы было предпринято множество попыток внедрения ЗЮ-эффектов 
на рабочий стол Піпих. Дистрибутивы ОЪипќёи, ореп5078Е и Еейога использовали 
проект АТСТ.Х (ѓеаогаргојесі.ого/мікі/ВепаегіпоРгојесі/аідіх). 

Цель проекта АссеЇегасеі Траітесё СІ. Х (АІСІХ) в том, чтобы внедрить ЗО-эффек- 
ты на рабочие столы Глпах на постоянной основе. Проект применяет специфика- 
цию ОрепСТ. (орепді.огд) с реализацией технологии Меза (теза34.ога) с открытым 
исходным кодом. 
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В настоящее время АТСТ.Х поддерживает ограниченный набор видеокарт и реа- 
лизует всего несколько ЗО-эффектов, но и они уже радуют глаз. 

Если видеокарта правильно настроена, то можно просто включить функцию 
ПезКор ЕЌесіѕ, чтобы увидеть доступные эффекты. Чтобы сделать это, выберите 
команду меню бузет » Ргеѓегепсеѕ » Реѕкќор ЕНес (Система » Параметры > Эффекты 
рабочего стола). В окне БезКюр ЕЙес5 (Эффекты рабочего стола) выберите плагин 
Сотріх. (Если параметр недоступен, установите соответствующий программный 
пакет.) 

Для включения эффектов Сотріх выполните следующие действия. 


® Запустите Сотріх. Выключает текущий менеджер окон и включает Сотріх. 


© Активизируйте эффект \Мпдом МоБЫе Мһеп Моуед (Окна дрожат при перемеще- 
нии). В этом случае строка окна заголовка дрожит, когда вы перетаскиваете его. 
Так же дрожат меню и другие открытые окна. 


® Активизируйте эффект Могкѕрасеѕ оп а Сие (Рабочие места на кубе). Перетащите 
окно с рабочего стола вправо или влево, и он будет вращаться, как куб, причем 
каждое из рабочих мест будет отображаться как сторона куба. Перетащите 
нужное окно на рабочее место, чтобы открыть его. Внизу на панели находится 
переключатель рабочих мест, который позволяет вращать куб. 


Интересные эффекты возникают при переключении между окнами с исполь- 
зованием сочетания клавиш АК+ТаЬ. При его нажатии миниатюра каждого окна 
прокручивается по экрану. 

На рис. 2.19 показан пример рабочего стола с включенными эффектами Сотри. 
Здесь представлено окно браузера, перемещаемое из одного рабочего пространства 
в другое в виде куба. 


7-2 


Рис. 2.19. Вращайте куб с эффектами АІСІХ 
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Далее приведены интересные эффекты АТСТХ. 


ө Вращение куба. Нажав и удерживая сочетание клавиш С+АК, нажимайте 
клавиши < и -›. Куб рабочего стола будет вращаться в направлении каждого 
последующего рабочего места (вперед или назад). 


ө Медленное вращение куба. Нажав и удерживая сочетание клавиш С+АЕ, а так- 
же левую кнопку мыши, перемещайте указатель мыши на экране. Куб начнет 
медленно вращаться между рабочими местами. 


® Масштабирование и разделение окон. Если рабочий стол заполнен, нажав 
и удерживая сочетание клавиш СШ-+АЕ, нажмите клавишу 1. Окна переместятся 
на отдельный рабочий стол. Все еще удерживая нажатым сочетание клавиш 
СЫНА, используйте клавиши со стрелками, чтобы выделить нужное окно, и от- 
пустите клавиши, чтобы его открыть. 


® Переключение между окнами. Нажав и удерживая клавишу АК, нажмите кла- 
вишу Тар. На полосе в середине экрана появятся уменьшенные версии всех окон, 
текущее окно — в центре. Все еще удерживая нажатой клавишу АК, нажмите 
клавишу Тар или сочетание клавиш 5ћЁ+Тар для перемещения вперед или назад 
между окнами. Отпустите клавиши на нужном окне. 


® Масштабирование и разделение рабочих мест. Нажав и удерживая сочетание 
клавиш С-+АЁ, нажмите клавишу $, чтобы увидеть миниатюры рабочих мест. 
Удерживая нажатым сочетание клавиш СА, нажимайте клавиши со стрел- 
ками < и » для перемещения между рабочими местами. Отпустите клавиши 
на нужном рабочем месте. 


е Перемещение активного окна в следующее рабочее место. Нажав и удерживая 
сочетание клавиш СИ+АЕ+$ЫЙ, нажмите клавишу < или ->. Слева или справа 
соответственно на активном рабочем столе появится рабочее место. 


® Перемещение окна. Нажав и удерживая левую кнопку мыши на заголовке 
окна, нажмите клавишу «<, 7, {$ или > для перемещения активного окна по 
экрану. 


Если эффекты надоели, можно отключить их и вернуться к использова- 
нию МеасЦу в качестве оконного менеджера. Снова выберите команду меню 
Ѕуѕіет » Ргеѓегепсеѕ › Оеѕкїор ЕНесЁз (Система » Параметры » Эффекты рабочего 
стола) и отключите эффекты рабочего стола. 

Если видеокарта поддерживает эффекты, но они не включаются, убедитесь, что 
Х-сервер настроен правильно. В частности, убедитесь, что файл /еёс/Х11/хогв. соп+ 
содержит корректные настройки, а файлы агі и 21х загружены в раздел модулей. 
Кроме того, добавьте раздел расширений в любое место файла (обычно в конце) 
следующим образом: 

Ѕесїіоп "ехёепѕіопѕ" 


Ор+іоп "Сотроѕі+е" 
Епаѕес&іоп 


Глава 2. Идеальный рабочий стол в пих 93 


Другой вариант — добавить в файл /еёс/Х11/хоге. соп+, в раздел реуісе, сле- 
дующую строку: 
ОрЕ1оп "ХААМООҒ+ѕсгеепРіхтарѕ" 


Функция ХААМ№ОҒ##ѕсгеепРіхтарѕ повышает производительность. Проверьте 
файл /маг/1о8/Хогв8. 105, чтобы убедиться, что функции ОВТ и АТСТХ запущены 
правильно. Сообщения в этом файле журнала помогут исправить и другие про- 
блемы. 


Резюме 


Среда рабочего стола СМОМЕ стала основной для многих систем Глпих, вклю- 
чая Еейога и ВНЕГ. Рабочий стол СМОМЕ 3 (задействуется в Еейога, КНЕГ. 7 
и КЕНЕТ. 8) — это современный элегантный рабочий стол, разработанный в соот- 
ветствии с типами интерфейсов для многих современных мобильных устройств. 
Рабочий стол СМОМЕ 2 (применяется в ВНЕТ. 6) — более традиционный вариант 
рабочего стола. 

Помимо рабочих столов СМОМЕ, вы можете попробовать и другие популярные 
и полезные среды рабочего стола. В среде К Юеѕксор Епуігоптепе (КРЕ) гораздо 
больше наворотов, чем в СМОМЕ, и она используется по умолчанию в нескольких 
дистрибутивах Глпих. На нетбуках и в «живых» дистрибутивах иногда применяют 
облегченные оболочки Г.ХПЕ или ХКе. 

Теперь, когда мы рассмотрели возможности рабочего стола Тлпиах, пришло время 
начать изучать более профессиональные административные интерфейсы. В гла- 
ве З мы обсудим интерфейс командного интерпретатора в Глпих. 


Упражнения 


Проверьте свои навыки использования рабочего стола СМОМЕ, выполнив упражне- 
ния, приведенные далее. Для этого можете задействовать как СЧОМЕ 2.х (Кеа Нас 
Епќегргіѕе Глпих вплоть до КНЕТ. 6), таки СМОМЕ З.х (Еейога 16 или ОЪипќи 11.10 
и ранние версии). Если затрудняетесь с решением задания для СМОМЕ 2 и СМОМЕЗ, 
воспользуйтесь ответами к упражнениям, которые даны в приложении Б. 


1. Установите систему Гапах с рабочим столом СМОМЕ 2 или СМОМЕ 3. Запу- 
стите систему и войдите в учетную запись. 


2. Запустите браузер Еігеѓох и перейдите на домашнюю страницу СМОМЕ 
(дпоте.ога). 


3. Выберите понравившийся фон для рабочего стола с сайта дпоте-іоок.ого, скачайте 
его в папку Изображения и установите в качестве фона. 
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10. 


Часть Г » Начало работы 


Запустите файловый менеджер и переместите его на второе рабочее место. 


Найдите скачанное изображение и откройте его в любой программе для про- 
смотра изображений. 


Перемещайтесь между рабочим местом с БігеЃох и тем, где открыт файловый 
менеджер. 


Откройте список установленных приложений и выберите программу для про- 
смотра изображений. Для этого как можно меньше нажимайте клавиши со 
стрелками или щелкайте кнопкой мыши. 


Измените вид окон в текущем рабочем месте на миниатюры. Выберите любое 
окно из списка. 


Используя только клавиатуру, запустите музыкальный плеер. 


Сделайте снимок экрана, используя только клавиатуру. 


Часть П 


Опытный пользователь 
Чпих 


В этой части 


Глава 3. Использование оболочки. 

Глава 4. Файловая система. 

Глава 5. Работа с текстовыми файлами. 
Глава 6. Управление активными процессами. 


Глава 7. Простейшие скрипты оболочки. 


Использование 
оболочки 


В этой главе 


и Что такое оболочка Ипих. 

= Использование оболочки в консолях и терминалах. 
т Применение команд. 

т Использование истории команд и автозаполнения. 
и Подключение и расширение команд. 

и Переменные и псевдонимы. 

и Постоянные настройки оболочки. 

и Мап-страницы и прочая документация. 


До того как значки и окна заполонили экраны, для взаимодействия с большинством 
компьютеров использовались команды. В системах О МХ, на основе которых соз- 
дана операционная система Глпих, программа для взаимодействия и управления 
командами, называлась командной оболочкой. 

Независимо от того, какой дистрибутив Глпих применяется, командный интер- 
претатор (оболочка) доступен всегда. Он позволяет создавать файлы скриптов, 
запускать программы, работать с файловыми системами, компилировать компью- 
терный код и управлять системой. Хотя командная оболочка не так интуитивно 
понятна, как привычные графические интерфейсы (СОТ), большинство экспертов 
пах считают ее гораздо мощнее, чем СОТ. Командные интерпретаторы существу- 
ют давно, и многие дополнительные функции, которые недоступны через графиче- 
ский интерфейс, можно активизировать с помощью команды. 

Оболочка Тлпих, о которой пойдет речь в этой главе, называется оболочкой 
разй, что расшифровывается как Воигпе Азаш Зе. Такое название она полу- 
чила благодаря совместимости с одной из самых ранних оболочек ОМХ — обо- 
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лочкой Вопгпе (названа в честь ее создателя Стивена Борна и представлена 
командой $1). 

Оболочка Ба$Н входит в большинство дистрибутивов и считается стандартной, 
существуют и другие оболочки, включая С (сѕћ), которую любят пользователи 
ВЅр ОМІХ, и Кога (кѕһ), популярную у пользователей ОМХ Ѕуѕќет У. В ОБипи 
во время загрузки по умолчанию используется оболочка даѕћ, так как она работает 
быстрее, чем Баѕћ. Существуют также оболочка сѕћ (улучшенная С) и оболочка 
аѕћ (тоже похожа на Воигпе ѕће1]). 

Велика вероятность того, что ваш дистрибутив Глпих содержит более одной 
оболочки. Однако в этой главе мы рассмотрим именно оболочку БазН. Это связано 
с тем, что дистрибутивы Глпих, представленные в этой книге, Еедога, ОБипеи и Вей 
Наб Ещегрие Глпах, по умолчанию задействуют оболочку Баѕћ в окне терминала. 

Приведу несколько основных преимуществ, которые дает умение работать 
с оболочкой. 


® Это позволяет научиться ориентироваться в любой Ілпих- или ОМІХ-подобной 
системе. Например, я могу войти на личный веб-сервер Кеа Наё Ещегрг1зе 
Тлпих, домашний мультимедийный сервер, домашний маршрутизатор или 
компьютер своей жены и использовать любую из этих компьютерных систем 
с помощью оболочки. Я даже могу войти в Апаго!-систему телефона и запу- 
скать в ней команды. Все эти устройства работают под управлением Глпих или 
аналогичных систем. 


® Специальные функции оболочки позволяют собирать входящие данные и рас- 
пределять их между командами и файловыми системами Глпих. Чтобы сэконо- 
мить время на вводе текста, можно находить, изменять и повторять команды из 
истории оболочки. Многие опытные пользователи практически не применяют 
графические интерфейсы, выполняя большую часть работы из оболочки. 


® Это позволяет собирать команды в файл с помощью функционального програм- 
мирования, например условных конструкций, циклов и других операторов, чтобы 
быстро выполиять сложные операции и не набирать команды снова и снова. 
Программы, состоящие из команд, которые хранятся в файле и запускаются 
из него, называются скриптами оболочки. Многие системные администраторы 
Тлпих используют скрипты оболочки для автоматизации таких задач, как ре- 
зервное копирование данных, мониторинг файлов логов или проверка работо- 
способности системы. 


Оболочка — это интерпретатор командного языка. Поработав в операционных 
системах Мисгозой, можно заметить, что в іпих оболочки действуют аналогично, 
но в целом намного мощнее, чем интерпретатор Ро\уегВеЙ. Можно с удовольстви- 
ем использовать графический интерфейс Глпих, однако по мере того, как ваши 
знания о Глпах будут расширяться, вам наверняка в какой-то момент придется 
применить оболочку, чтобы отследить проблему или администрировать некото- 
рые функции. 
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Сначала использование оболочки может показаться совершенно непонятным, 
но, имея правильные инструкции, вы быстро изучите многие из наиболее важных ее 
функций. Эта глава — руководство по работе с системными командами, процессами 
и файловой системой Плпах из командной оболочки. В ней описывается среда обо- 
лочки и то, каким образом можно адаптировать ее к потребностям пользователя. 


Оболочка и терминал 


Есть несколько способов доступа к командному интерпретатору в пих. Три наи- 
более распространенных — это командная строка, окно терминала и виртуальная 
консоль, о которых вы узнаете подробнее в следующих разделах. 

Запустите систему Глпах. На экране появится либо графический интерфейс 
входа в систему, либо текст, приведенный далее: 
Кеа На Епёегргіѕе 11пих 5егуег ге1еаѕе 8.0 (Ооїра) 


Кегпе1 4.18.0-42.е18.х86 64 оп ап Х86 
ту1іпихһоѕ& 1оріп: 


В любом случае необходимо войти в систему под учетной записью пользователя. 
Если при входе в систему появился только текст, переходите к разделу «Исполь- 
зование командной строки» данной главы. Если при входе появился графический 
экран, прочитайте подраздел «Использование терминала», чтобы узнать, как от- 
крыть интерпретатор с рабочего стола. Доступ к большему количеству оболочек 
описан в разделе «Использование виртуальных консолей» в этой главе. 


Использование командной строки 


Если у вашей системы Глпих нет графического интерфейса или в данный момент он 
не работает, то после входа в систему на экране, скорее всего, появится текстовое 
приглашение в интерпретатор. Ввод команд из командной строки, вероятно, и будет 
основным средством работы в системе Глпих. 

По умолчанию для обычного пользователя приглашение — это знак доллара: 


Приглашение для суперпользователя — знак фунта (также называется знаком 
решетки или октоторпом): 


# 
В большинстве систем Глпих перед знаками $ и # указаны имена пользователя, 
системы и текущего каталога. Например, запрос на вход для пользователя с име- 


нем јаке, именем системы ріпе и рабочим каталогом /иѕг/ѕһаге/ будет выглядеть 
следующим образом: 


[]аке@р1пе ѕһћаге]% 
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Можно изменить текст приглашения на любые другие символы и даже отразить 
фрагменты информации о вашей системе. Например, в качестве приглашения ис- 
пользовать текущий рабочий каталог, дату, имя локального компьютера или любую 
иную строку символов. Чтобы настроить приглашение, перейдите в подраздел 
«Настройка приглашения» далее в этой главе. 

В оболочке доступно огромное количество функций, можно начать с ввода про- 
стых команд. Выполните некоторые из тех команд, что рассмотрены в этой главе, 
чтобы ознакомиться с текущей средой оболочки. 

В приведенных далее примерах символы доллара ($) и фунта (#) указывают на 
приглашение командной строки. Символ $ говорит о том, что команда может быть 
запущена любым пользователем, а символ # обычно означает, что необходимо запу- 
стить команду от имени суперпользователя (то есть многие административные ин- 
струменты требуют разрешения суперпользователя для запуска). После приглашения 
вы должны ввести команду, а затем нажать клавишу Епег. 


ПРИМЕЧАНИЕ 


Хотя символ # указывает, что команда должна выполняться от имени суперпользователя, не нужно входить в си- 
стему, чтобы запустить такую команду. Наиболее распространенный способ запуска команды от имени суперполь- 
зователя — добавление ключевого слова ѕийо. Дополнительную информацию о команде ѕийо см. в главе 8. 


Использование терминала 


Запустив графический интерфейс операционной системы, вы можете открыть 
программу эмулятора терминала, иногда называемую окном терминала, чтобы за- 
пустить командный интерпретатор. Большинство дистрибутивов Глпах позволяют 
легко запускать интерпретатор из графического интерфейса пользователя. Приведу 
два распространенных способа запуска окна терминала с рабочего стола Глпих. 


® Щелкните правой кнопкой мыши на рабочем столе. Появится контекстное 
меню с командой наподобие Ореп іп Тегтта! (Открыть терминал), ЗНе!$ (Обо- 
лочки), Мем Тегтіпа! (Новый терминал), Тегтіпа! МИпдом (Окно терминала), Жегт 
ит. п. (В некоторых дистрибутивах этой функции нет.) 


ө Выберите соответствующий пункт в меню на панели. Во многих системах 
Тлпих в верхней или нижней части экрана есть панель, на которой мож- 
но запускать приложения. Например, в некоторых системах с рабочим сто- 
лом СМОМЕ 2 выберите команду меню Арріісайопѕ » Ѕуѕіет Тоо!5 > Тегтіпа! 
(Приложения » Системные утилиты » Терминал), чтобы открыть окно терми- 
нала. В СМОМЕ З щелкните кнопкой мыши на меню Асіімійіеѕ (Обзор), введите 
в строку поиска Тегт1па1 и нажмите клавишу Епќег. 


Во всех случаях команды вводятся так же, как и из интерпретатора без графиче- 
ского интерфейса. В Піпих доступны различные эмуляторы терминалов. В Ее4ота, 
Вед Наё Епќегргіѕе Глпах (КЕНЕТ) и других дистрибутивах Глпах с рабочим столом 
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СМОМЕ окно эмулятора терминала по умолчанию — это терминал СМОМЕ (за- 
пускается командой впоте-егтіпа1). 

Терминал поддерживает множество функций, выходящих за рамки возмож- 
ностей обычной базовой оболочки. Например, можно вставлять скопированный 
текст в окно терминала СМОМЕ или копировать текст из него, менять шрифт, 
устанавливать заголовки, выбирать цвета или изображения для фона, а также за- 
давать, сколько текста следует показывать при прокрутке экрана. 

Чтобы попробовать применить некоторые функции терминала, запустите си- 
стему Еейога или ВНЕГ. и войдите на рабочий стол. Затем следуйте инструкции. 


1. Перейдите в меню Арріісайоп » Иез » Тегттпа! (Приложения » Утилиты » Тер- 
минал) или введите в строку поиска в меню Асіімійеѕ (Обзор) текст Тегтіпа1. 
Откроется окно терминала. 


2. В меню окна терминала выберите команду меню Ргеѓегепсеѕ (Параметры) или 
Ргоћіе Ргеѓегепсеѕ (Параметры профиля). 


3. На вкладке Сепега! (Основное) или на вкладке текущего профиля (в зависи- 
мости от версии СМОМЕ) установите флажок Сиѕїіот ѓопї (Пользовательский 
шрифт). 

4. Выберите подходящий шрифт и его размер, а затем нажмите кнопку 5аесё (Вы- 
брать). В окне терминала появится новый шрифт. 


5. Снимите флажок Сиѕіот ѓопё (Пользовательский шрифт), чтобы вернуться 
к шрифту по умолчанию. 


6. На вкладке Соогз (Цвета) снимите флажок Оѕе соог$ гот ѕуѕіет ћете (Исполь- 
зовать цвета из системной темы), чтобы выбрать свой цвет для текста и фона. 


7. Установите флажок Це союг$ тот зущет тете (Использовать цвета из системной 
темы), чтобы вернуться к цветам по умолчанию. 


8. Перейдите в окно профиля. Существуют и другие функции, с которыми можно 
поэкспериментировать, например установить, сколько строк прокручиваемых 
данных будет показано. 


9. После выполнения настроек закройте окно профиля. Теперь можно использо- 
вать окно терминала. 


Если применяется графический рабочий стол, то доступ к интерпретатору легче 
всего получать именно из окна терминала. 


Использование виртуальных консолей 


Большинство систем Глпих с интерфейсом рабочего стола задействуют несколько 
виртуальных консолей, работающих на компьютере. Виртуальные консоли позво- 
ляют одновременно открывать несколько сеансов интерпретатора вместе с одно- 
временным задействованием графического интерфейса. 
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Между виртуальными консолями можно переключаться, удерживая клавиши 
С и Аі и нажимая одну из функциональных клавиш Е1—Е6. Например, в дистри- 
бутиве Ее4дога нажмите сочетание клавиш С+АЕ-Е1 (или Р2, ЕЗ, Е4, Е4 и Еб в боль- 
шинстве систем Глпих), чтобы отобразить одну из семи виртуальных консолей. 
Графический интерфейс обычно имеется в одной из первых двух виртуальных 
консолей, а остальные шесть — текстовые. 

Чтобы вернуться к графическому интерфейсу (если он запущен), нажмите со- 
четание клавиш С-+А+Е1. В некоторых системах графический интерфейс может 
быть расположен в другой виртуальной консоли, например во второй (СіЙ+АЌ+Р2). 
Более новые системы, такие как Еедога 33, постоянно запускают ват (экран входа 
в систему) на ї+у1, чтобы разрешить несколько одновременных сеансов интерфей- 
са: ват находится на +#у1, первый рабочий стол запускается на ++у2, второй рабочий 
стол — на їуз ит. д. 

Попробуйте. Нажмите и удерживайте сочетание клавиш Сі1+АЇЁ и нажмите 
клавишу ЕЗ. Появится текст приглашения входа в систему. Введите имя пользова- 
теля и пароль. Примените несколько команд. По окончании введите ехі, чтобы 
покинуть командный интерпретатор, а затем нажмите сочетание клавиш С+АЕ+Е1 
или СіЙ+АЌ+Р2, чтобы вернуться в графический интерфейс. Можно перемещаться 
между этими консолями сколько угодно. 


Выбор командного интерпретатора 


В большинстве систем Глпиах оболочкой по умолчанию является утилита баѕћ. 
Чтобы узнать, какая у вас оболочка по умолчанию, введите следующие команды: 


$ мһо ат і 

сһгіѕ р5/0 2019-10-21 22:45 (:0.0) 

$ вгер сһгіѕ /ес/раѕѕма 

сћг15:х:13597:13597:Сһгіѕ №риѕ : /һоте/сһгіѕ : /ріп/баѕһ 


Обратите внимание; примеры командной строки, показанные здесь и во всей 
книге, — это команды с выходными данными. Когда команда завершится, вы снова 
увидите приглашение командной строки. 

Команда ипо ам і отображает имя пользователя, а команда вгер (замените сһгіѕ 
своим именем) — определение учетной записи в файле /еїс/раѕѕма. Последняя 
часть в этой записи показывает, что оболочка Баз! (/Біп/баѕћ) является оболочкой 
по умолчанию (той, которая запускается при входе в систему или при открытии 
окна терминала). 

Вполне возможно, хотя и маловероятно, что у вас будет другой набор оболочек 
по умолчанию. Чтобы испытать другой интерпретатор, просто введите имя оболоч- 
ки, например К$п, + сп, сѕһ, $һ, ааѕһ или другие, если они установлены. Попробуйте 
ввести несколько команд в другой оболочке и наберите ех1* по окончании, чтобы 
вернуться в интерпретатор баѕћ. 
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Для чего использовать различные командные интерпретаторы? 


® Вы уже привыкли применять системы ОМІХ Зузет У (часто с кѕћ по умолча- 
нию) или Ѕип М!сгозу$етз и другие ОМХ-подобные дистрибутивы Вегкееу 
(часто с сѕћ по умолчанию), и вам удобнее работать в этих оболочках. 


ө Вы хотите запускать скрипты оболочки, созданные для конкретной среды 
интерпретатора, и ее нужно протестировать или использовать из текущей обо- 
лочки. 


® Вы просто предпочитаете функции конкретного командного интерпретатора. 
Например, некоторые из сообществ Глпиах, в которые я вхожу, выбирают К$п, 
а не баѕћ, потому что им не нравится, как в баѕћ используются псевдонимы. 


Большинство пользователей Глпих отдают предпочтение определенной обо- 
лочке, но если вы знаете, как применять одну из них, то сможете быстро изучить 
любую другую, иногда обращаясь к руководству на соответствующей тап-странице 
(например, введите тап Базп). Справочные тап-страницы (описанные далее, в раз- 
деле «Информация о командах») содержат документацию по командам, форматам 
файлов и другим компонентам Глпиах. Большинство людей используют оболочку 
БазН только потому, что у них нет причин работать с другим интерпретатором. 
Оставшаяся часть этой главы посвящена оболочке баѕћ. 

баѕћ включает в себя функции, разработанные для интерпретаторов К$Н и ѕћ 
в ранних системах ОМІХ, а также некоторые функции сѕћ. Интерпретатор баѕћ 
является оболочкой входа по умолчанию в большинстве систем Глпих, за исклю- 
чением некоторых специализированных (например, работающих на встроенных 
устройствах), которым необходим меньший по использованию памяти и выпол- 
няемым функциям интерпретатор. Большинство примеров, приведенных в книге, 
выполнено в интерпретаторе баѕпћ. 


СОВЕТ 


Знание интерпретатора Баѕћ полезно не только потому, что он применяется по умолчанию в большинстве систем, 
но и потому, что именно он включен в большую часть экзаменов по пих. 


Запуск команд 


Самый простой способ выполнить команду — ввести ее имя в интерпретаторе. 
С рабочего стола откройте окно терминала. Введите: 


$ ааїе 
Три Эип 29 08:14:53 Ерт 2019 


Команда дате без каких-либо параметров или аргументов вызывает отображение 
текущих дня, месяца, времени, часового пояса и года, как показано ранее. 
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Попробуйте другие команды: 


$ рма 

/ћоте/сћгіѕ 

$ һоѕ+пате 

тудӢеѕк+ор 

$ 15 

реѕкёор Рромп1оааѕ Рісёигеѕ Тетр1а+еѕ 
Роситепёѕ Миѕіс Рир1їс Үідеоѕ 


Команда рма отображает текущий каталог. Команда һоѕпате показывает имя 
компьютера. Команда 15 отображает список файлов и каталогов, находящихся 
в текущем каталоге. Хотя многие команды можно выполнить, набрав только их 
имена, стоит вводить после команды дополнительные символы, чтобы изменить 
ее поведение. Символы и слова, которые можно добавить к команде, называются 
параметрами и аргументами. 


Синтаксис команд 


У большинства команд есть один или несколько параметров, с помощью которых 
можно изменить их поведение. Параметры обычно состоят из одной буквы, перед 
которой стоит дефис. Чтобы применять более одного параметра одновременно, 
можно сгруппировать однобуквенные параметры или поставить дефис перед каж- 
дым. Например, следующие два варианта использования параметров для команды 
15 одинаковы: 

$ 15 -1 -а -1 

$ 15 -1аї 


В обоих случаях команда 15 выполняется с параметрами -1 (длинный список), 
-а (показать скрытые файлы с точкой) и -+ (сортировать по времени). 

В некоторые команды включаются параметры в виде целого слова. Чтобы ко- 
манда использовала в качестве параметра целое слово, перед ним ставится двойной 
дефис (--). Например, чтобы вызывать помощь для многих команд, введите в ко- 
мандной строке --һе1р. Без двойного дефиса буквы И, е, 1 и р будут интерпрети- 
роваться как отдельные параметры. Существуют некоторые команды, у которых 
срабатывает один дефис перед словом-параметром, а не два, но в большинстве 
команд все же применяют двойной дефис. 


ПРИМЕЧАНИЕ 


Используйте параметр -Ве!р, чтобы просмотреть параметры и аргументы большинства команд. Например, вве- 
дите һоѕпате -ћејр. 


Многие команды также поддерживают аргументы, располагающиеся после 
ввода определенных параметров или в конце командной строки. Аргумент — это 
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дополнительная информация, например имя файла, каталог, имя пользователя, 
устройство или другой элемент, который указывает команде, что делать. Напри- 
мер, команда са* /еёс/раѕѕмӣ отображает содержимое файла /еёс/раѕѕма на экране. 
Часть /еёс/раѕѕмӣ и есть аргумент. Обычно в командной строке можно исполь- 
зовать любое количество аргументов, ограниченное только общим количеством 
символов, разрешенных в командной строке. Иногда аргумент связан с параметром. 
В этом случае он должен стоять сразу за параметром. При однобуквенных параме- 
трах аргумент обычно отделяется пробелом. Если параметр — это целое слово, то 
аргумент стоит за знаком равенства (=), например: 

$ 15 --һійе=реѕк+ор 


Рроситепёѕ Миѕіс Рир1іс үідеоѕ 
Рромп1оааѕ Рісёигеѕ Тетр1а+еѕ 


Здесь параметр --һіае указывает команде 1$ не отображать файл или каталог 
с именем реѕк+ор при перечислении содержимого каталога. Обратите внимание на 
то, что знак равенства стоит сразу за параметром (без пробела), а затем указывается 
аргумент (опять же без пробела). 

Вот пример однобуквенного параметра, за которым следует аргумент: 


$ +аг -суЕ Баскир.+аг /һоте/сһгіѕ 


Здесь параметры создают (с) файл (+) с именем баскир.+аг, который включает 
в себя все содержимое каталога һоте/сһгіѕ и его подкаталогов и показывает по- 
дробные сообщения (у) при создании резервной копии. Поскольку текст БасКир.аг 
является аргументом для параметра +, аргумент баскир. аг должен располагаться 
сразу за параметром. 

Примените следующие команды. Посмотрите, как они ведут себя с различными 
параметрами: 
$ 15 


реѕкёор Поситеп5 Ромп1оааѕ Миѕіс Рісёигеѕ Риб1іс Тетр1а+еѕ 
\/14е0$ 


$ 15 -а 
"Реѕк+ор „.впоте2_рг1уае .1еѕ5һѕ+ РиБ1іс 
Ае Рроситеп+ѕ .Бпо+е .1оса1 Тетр1а+еѕ 
.баѕһ һіѕ+огу ромп1оайѕ .впире .то2і11а \14ео0$ 
.баѕһ_ 1орои+ .етасѕ .Бѕігеатег-@.10 Миѕіс .хѕеѕѕіоп-еггогѕ 
.баѕһ ргоғі1е .еѕа аи+һ .БЕК-рооктагкѕ  Р1сфигез .25һгс 
„Ба$Игс .Ғѕупс.10р —„9\Е5 Р1сфиге$ 
$ чпаме 
ЕЗпих 


$ ипате -а 

Ііпих тудеѕкёор 5.3.7-301.#с31.х86 64 #1 $МР Моп Осі 21 19:18:58 ШТС 
2019 х86 64 х86 64 х86 64 СМО/і іпих 

$ даїе 

Мед 04 Маг 2020 09:06:25 РМ ЕѕТ 

$ дате +'%а/%т/%у' 

04/03/20 

$ дате +'%А, %в %а, %у' 

Медпеѕаау, Магсһ 04, 2020 
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Сама по себе команда 1$ выводит все обычные файлы и каталоги в текущем 
каталоге. Добавив параметр -а, можно отобразить скрытые файлы, находящиеся 
в каталоге (те, которые начинаются с точки). Команда ипаме выводит тип использу- 
емой системы (Тіпих). При добавлении параметра -а отобразятся также имя хоста, 
выпуск ядра и версия ядра. 

Для команды даќе существует несколько особых параметров. Сама по себе она 
просто отображает текущие день, дату и время, как показано ранее. Однако будучи 
примененной с форматирующим параметром +, команда да*е поддерживает специ- 
альную функцию, которая позволяет отображать дату в разных форматах. Введите 
даќе - -һе1р, чтобы узнать больше о доступных форматах. 

Попробуйте применить команды іа и мһо, чтобы получить представление о те- 
кущей среде Глпах, как будет описано далее. 

Когда вы входите в [пих, система определяет вашу личность, то есть имя поль- 
зователя, имя группы, идентификатор пользователя (иѕег ГО) и идентификатор 
группы (егоир ГО). Г4пих также отслеживает весь сеанс в системе: когда вы вошли 
в систему, как долго она бездействовала и откуда вы вошли. 

Чтобы получить информацию о своей личности Глпих, используйте команду іа: 
$ 1а 
иіа=1000(сһгіѕ) 5149=1000(спг1$) 5гоир$=1005 (5а1е5), 7(1р) 

В данном примере имя пользователя — сһгіѕ, оно представлено числовым 
идентификатором пользователя (иіа) 1000. Первичная группа также называется 
сһгіѕ и имеет идентификатор группы (519) 1999. В Еейога и Кеа Наг Епќегргіѕе 
Тлпих чаще всего имя пользователя и имя группы одинаковые. Пользователь сйг1$ 
принадлежит также к другим группам, которые называются ѕа1еѕ (ріа 1000) и 1р 
(5147). Данные имена и числа — это сведения, говорящие о том, что пользователю 
спг1$ разрешен доступ к ресурсам компьютера. 


ПРИМЕЧАНИЕ 
Дистрибутивы пих с включенной функцией Ѕесигіќу Епһапсеа пих (5ЕМпих), такие как Еедога и ВНЕ, показыва- 
ют дополнительную информацию в конце вывода после команды іа. Это может выглядеть примерно так: 


сопёехё=ипсопҒіпеа и: ипсопҒіпеа г: ипсоп+іпеа &:50-50:с0.с1023 


ЅЕШпих обеспечивает жесткую блокировку для обеспечения безопасности системы Мпих. Информация о ЗЕМ пих 
представлена в главе 24. 


Сведения о текущем сеансе входа в систему отображается с помощью команды 
ино. В примере далее параметр -и добавляет информацию о времени простоя и 10 
процесса, а параметр -Н запрашивает вывод заголовка: 


$ мһо -иН 
МАМЕ ЕТМЕ ТТМЕ ТОЕЕ РТО СОММЕМТ 
сћгіѕ {ул Зап 13 20:57 $ 2019 


Вывод команды ино показывает, что пользователь сһгіѕ вошел в систему 
на {{у1 (является первой виртуальной консолью на мониторе, подключенном 
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к компьютеру), а сеанс входа начался 13 января в 20:57. Время ТРЕЕ показывает, как 
долго интерпретатор был открыт без ввода какой-либо команды (точка указывает 
на активность в данный момент). РТО показывает идентификатор процесса входа 
пользователя. СОММЕМТ будет показывать имя удаленного компьютера, с которого 
пользователь вошел в систему, если он сделал это с другого компьютера в сети, 
или имя локального дисплея Х, если пользователь использует окно терминала 
(например, :0.0). 


Местоположение команд 


Теперь, когда вы попробовали ввести некоторые команды, вас может заинтересо- 
вать, где хранятся все команды, доступные для конкретного командного интер- 
претатора. Чтобы найти введенные команды, интерпретатор ищет так называемый 
путь. Для команд, которые не находятся в вашем пути, можно ввести полный 
идентификатор их местоположения. 

Если известен каталог с нужной командой, один из способов ее запуска — вве- 
сти полный (или точный) путь к ней. Например, чтобы запустить команду дате из 
каталога /біп, введите: 


$ /Ьіп/аа+е 


Конечно, это может быть не совсем удобно, особенно если команда находится 
в каталоге с длинным путем. Лучший способ — это хранить команды в хорошо из- 
вестных каталогах, а затем добавлять эти каталоги в РАТН (переменная окружения 
интерпретатора). Путь состоит из списка каталогов, которые последовательно 
проверяются для вводимых команд. Чтобы просмотреть текущий путь, введите: 


$ есһо $РАТН 
/чзг/1оса1 /Б1п: /иѕг/біп: /бріп: /иѕг/1оса1/5ріп: /иѕг/ѕріп: /ѕ5ріп: /Номе/свг1$/61п 


В результате отображается общий путь по умолчанию для обычного пользо- 
вателя Глпих. Каталоги в списке путей разделяются двоеточиями. Большинство 
команд для обычного пользователя пих находятся в каталогах /біп, /иѕг/Біп или 
/иѕг/1оса1/біп. Каталоги /ѕбіп и /иѕг/ѕбіп содержат административные команды 
(некоторые системы Глпих не добавляют эти каталоги в пути обычных пользова- 
телей). Последний показанный каталог — это Біп в каталоге һоте пользователя 
(/һоте/сһгіѕ/Біп). 


СОВЕТ 


Если вы хотите добавить собственные команды или скрипты оболочки, поместите их в каталог Біп в своем ка- 
талоге поте (например, /һоте/сһгіѕ/біп для пользователя с именем сћтіѕ). В одних системах Мпих этот каталог 
автоматически добавляется в ваш путь, а в других может потребоваться создать этот каталог или добавить его 
в переменную РАТН. Таким образом, если вы добавляете команду в каталог біп с разрешением исполнения, ее 
можно будет использовать, просто введя имя в командной строке интерпретатора. Чтобы сделать команды до- 
ступными для всех пользователей, добавьте их в каталог /иѕг/осаі/Біп. 
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В отличие от некоторых других операционных систем, Глпах по умолчанию 
не проверяет текущий каталог на наличие исполняемых файлов перед поиском 
пути. Она сразу же начинает поиск пути, и исполняемые файлы в текущем каталоге 
запускаются только в том случае, если находятся в переменной РАТН или вы указы- 
ваете точное (например, /поте/сНг1$/зсг1рех. ПН) или относительное (например, 
./ѕсгіріх.ѕһ) местоположение. 

Порядок каталогов в пути очень важен. Каталоги сверяются слева направо. 
Например, если команда +оо расположена как в каталоге /иѕг/біп, так и в каталоге 
/61п, выполняется команда именно в каталоге /изг/61п. Чтобы запустить другую 
команду оо, нужно либо ввести полный путь к команде, либо изменить перемен- 
ную РАТН. (Изменение пути (РАТН) и добавление к нему каталогов описано далее 
в этой главе.) 

Невсе выполняемые команды находятся в каталогах переменной РАТН. Некоторые 
из них встроены в командный интерпретатор. Другие можно заменить, создав псев- 
донимы, определяющие любые команды и параметры, которые нужно запустить. 
Существуют также способы определения функции, состоящей из сохраненной 
серии команд. Вот так выглядит порядок, в котором интерпретатор проверяет на- 
личие вводимых команд. 


1. Псевдонимы (ярлыки). Это имена, заданные командой а1іаѕ, которые пред- 
ставляют определенную команду и набор параметров. Введите в строку а1іаѕ, 
чтобы увидеть, какие псевдонимы установлены. Псевдонимы позволяют при- 
своить короткое имя длинной сложной команде. (Далее в этой главе описано, 
как создавать псевдонимы.) 


2. Зарезервированные (ключевые) слова. Слова, которые используются ин- 
терпретатором для определенных целей. Многие из них можно применять 
в программировании, например, до, мћі1е, саѕе и е15е. (Подробнее о некоторых 
зарезервированных словах см. в главе 7.) 


3. Функция. Это набор команд, которые выполняются вместе в текущем интер- 
претаторе. 


4. Встроенная команда. Это команда, встроенная в оболочку. В файловой системе 
отсутствует представление таких команд. Некоторые наиболее распространен- 
ные команды — это, например, са (изменение каталогов), есһо (вывод текста на 
экран), ех1* (выход из интерпретатора), + (вывод на передний план команды, 
выполняемой в фоновом режиме), 11$%огу (просмотр списка ранее запущенных 
команд), риа (отображение текущего рабочего каталога), ѕе (установка пара- 
метров оболочки) и уре (отображение местоположения команды). 


5. Команды файловой системы. Такие команды хранятся в файловой системе 
и выполняются из нее. (Это команды, которые обозначаются значением пере- 
менной РАТН.) 


Чтобы определить расположение конкретной команды, можно использовать 
команду +уре. (Если у вас другая оболочка, не Баз, то возьмите команду мһісћ.) 
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Например, чтобы узнать, где находится команда оболочки баѕћ, введите сле- 
дующее: 


$ +уре Базв 
Бай 1$ /біп/баѕћ 


Примените слова мһісһ, саѕе, гефигп с командой +уре, чтобы увидеть другое 
расположение команд. Если команда находится в нескольких местах, добавьте па- 
раметр, чтобы вывести все местоположения команды на экран. Например, команда 
туре -а 15 отобразит псевдоним и расположение в файловой системе команды 15. 


СОВЕТ 


Иногда при запуске команды возникает сообщение об ошибке — о том, что команда не найдена или разрешения 
на ее запуск нет. Если команда не была найдена, убедитесь, что она правильно написана и находится в перемен- 
ной РАТН. Если запуск команды был отклонен, она может находиться в переменной РАТН, но ее нельзя запустить 
без разрешения. Помните, что регистр важен, поэтому при вводе слов САТ или Са{ команда са{ найдена не будет. 


Если команды нет в переменной РАТН, можно использовать команду 1оса\же, 
чтобы найти ее. С помощью 1оса+е можно найти какую-либо часть системы при 
условии, что она доступна пользователю (некоторые файлы — только суперполь- 
зователю). Например, если нужно найти расположение команды сһаре, введите: 


$ 1осафе спаре 

/иѕг/біп/сһаре 

/иѕг/ѕріп/1сһаре 
/иѕг/ѕһаге/тап/#г/тап1/сһаре.1.р2 
/иѕг/ѕһаге/тап/іё/тап1/сһаре.1.р2 
/иѕг/ѕһаге/тап/ја/тап1/сһаре.1.р2 
/иѕг/ѕһаге/тап/тап1/сһаре.1.02 
/иѕг/ѕһаге/тап/тап1/1сһаре.1.р2 
/иѕг/ѕһаге/тап/р1/тап1/сһаре.1.р2 
/иѕг/ѕһаге/тап/ги/тап1/сһаре.1.р2 
/иѕг/ѕһаге/тап/ѕу/тап1/сһаре.1.р2 
/иѕг/ѕһаге/тап/&г/тап1/сһаре.1.р2 


Обратите внимание на то, что инструкция 1оса+е нашла не только команду 
сһаре, но и команду 1сһаве, и множество справочных страниц, связанных с снаве, 
для разных языков. Команда 1оса%е просматривает всю файловую систему, а не 
только каталоги с командами. (Если 1оса+е не находит файлы, недавно добавлен- 
ные в систему, запустите команду ирӣа+еар от имени суперпользователя, чтобы 
обновить локальную базу данных.) 

В следующих главах мы научимся применять дополнительные команды. Пока 
необходимо поближе познакомиться с тем, как работает командный интерпретатор. 
Поэтому далее обсудим функции для вызова команд и их выполнения, использо- 
вания переменных и создания псевдонимов. 
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Вызов команд из истории 


Удобно, что есть возможность повторить команду, выполненную ранее в ин- 
терпретаторе. Воспроизведение длинной и сложной командной строки может 
стать тем еще испытанием. К счастью, функции оболочки позволяют вызывать 
предыдущие командные строки, изменять их и завершать частично введенную 
командную строку. 

История интерпретатора — это список команд, которые были введены ранее. 
Используя команду һіѕїогу в интерпретаторе баѕћ, можно просмотреть введенные 
прежде команды. Затем с помощью различных функций оболочки можно вызвать 
отдельные командные строки из этого списка и изменить их. 

Далее в этом разделе мы рассмотрим, как изменять команды, завершать части 
командных строк, вызывать список истории и работать с ним. 


Изменение командной строки 


Если в командную строку вкралась ошибка, оболочка БазН позволяет не удалять 
ее всю и не начинать все сначала. И точно так же можно вызвать предыдущую ко- 
мандную строку и изменить в ней элементы, чтобы создать новую команду. 

По умолчанию интерпретатор Баз! допускает изменение командной строки на 
основе текстового редактора етасз. (Введите тап етасѕ, чтобы открыть справочные 
страницы и узнать о нем больше.) Если вы уже знакомы с етасѕ, то, вероятно, зна- 
ете большинство комбинаций клавиш, описанных далее. 


СОВЕТ 


По желанию можно выбрать команду уі для изменения командных строк. Добавьте следующую строку в файл 
.Баѕћгс в своем домашнем каталоге: 


ѕеі -о уі 


В следующий раз, когда будет запущен интерпретатор, примените команду уі для изменения командных 
строк. 


Для редактирования можно задействовать комбинацию управляющих клавиш, 
клавиши Меќа и клавиш со стрелками. Например, сочетание клавиш СИР означа- 
ет, что нужно, удерживая нажатой клавишу Сіп, нажать клавишу +. АЌ+Е означает, 
что нужно удерживать нажатой клавишу АК и ввести Ё. (Вместо АЁ на клавиатуре 
можно использовать клавиши Ме или Еѕс. А на клавиатуре \/т4о\з — клавишу 
МИпаом,з.) 

Чтобы изменить командную строку, введите: 


$ 15 /изг/Ь1т | ѕогЕ -+ | 1е5$ 
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Эта команда выводит список содержимого каталога /иѕг/біп, сортирует со- 
держимое в алфавитном порядке (независимо от регистра) и передает выходные 
данные команде 1е55. Эта команда воспроизводит первую страницу вывода, по- 
сле чего можно отобразить остальную часть вывода (нажмите клавишу Ещег) или 
страницу (нажмите Пробел). Когда закончите, нажмите клавишу а. Теперь пред- 
положим, что вы хотите изменить каталог /иѕг/ріп на /біп. Для этого выполните 
следующие действия. 


1. Нажмите клавишу \. Отобразится самая последняя команда из истории интер- 
претатора. 


2. Нажмите сочетание клавиш СЫ1+А. Курсор переместится в начало командной 
строки. 


3. Нажмите сочетание клавиш СёЇ+Е или клавишу >. Повторите эту команду 
несколько раз, чтобы передвинуть курсор к первой косой черте (/). 


4. Нажмите сочетание клавиш СИ1+). Введите эту команду четыре раза, чтобы 
удалить /изг из строки. 


5. Нажмите клавишу Ещег. Командная строка сохранится и выполнит дей- 
ствие. 


При изменении командной строки в нее можно добавлять обычные символы. 
Они появятся там, где установлен текстовый курсор. Используйте стрелки <= 
и ә для перемещения курсора из одного конца командной строки в другой. Если 
нажать клавиши Хи $, можно перейти к предыдущим командам в списке истории 
и выбрать другую командную строку для редактирования. (См. подраздел «Вы- 
зов командной строки», чтобы узнать, как вызвать команды из списка истории.) 
Можно применять разные сочетания клавиш, чтобы изменять командные строки. 
В табл. 3.1 перечислены комбинации клавиш для перемещения по командной 
строке. 


Таблица 3.1. Сочетания клавиш для перемещения по командной строке 


Сочетание Название Описание 

клавиш 

Си+Е Символ вправо (вперед) | Перейти на один символ вправо (вперед) 

С+В Символ влево (назад) Перейти на один символ влево (назад) 

АЕ Слово вправо (вперед) | Перейти на одно слово вправо (вперед) 

АК+В Слово влево (назад) Перейти на одно слово влево (назад) 

Си1+А Начало строки Перейти к началу текущей строки 

Си+Е Конец строки Перейти к концу текущей строки 

Се1+1. Очистка экрана Очистить экран и оставить строку в верхней части 


экрана 
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Комбинации клавиш, приведенные в табл. 3.2, используются для изменения 
командных строк. 


Таблица 3.2. Сочетания клавиш для изменения командной строки 


Сочетание Название Описание 

клавиш 

Сє1+р Удалить текущий символ | Удалить символ до курсора 

ВасКѕрасе Удалить предыдущий Удалить символ перед курсором 

символ 

се+т Перенести символ Поменять местами последние два символа 
перед курсором 

АК+Т Перенести слова Поменять текущее слово на предыдущее 

АО Слово в верхнем регистре | Изменить слово — перевести в верхний 
регистр 

АТГ, Слово в нижнем регистре | Изменить слово — перевести в нижний 
регистр 

АК+С Слово с прописной буквы | Изменить слово под курсором — начать 
с прописной буквы 

се+У Специальный символ Вставляет специальный символ, например 
символ табуляции — Сіті+У+ТаЬ 


Сочетания клавиш, данные в табл. 3.3, позволяют вставлять и вырезать текст 
в командной строке. 


Таблица 3.3. Сочетания клавиш для работы с текстом в командной строке 


Сочетание Название Описание 
клавиш 
Се1+К Вырезать конец строки Вырезать часть строки после курсора 
Сет1+0 Вырезать начало строки Вырезать часть строки перед курсором 
Се1+У Вырезать предыдущее Вырезать слово перед курсором 
слово 
АК+Ю Вырезать следующее Вырезать слово после курсора 
слово 
сы+У Вставить последний текст | Вставить последний вырезанный текст 
АК+Ү Вставить предыдущий Вставить предыдущий вырезанный текст 
текст 
Сеі+С Удалить всю строку Прервать (убить) текущий процесс, удалить 
всю строку 
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Автозавершение командной строки 


Чтобы вам не приходилось вводить множество сочетании клавиш, интерпретатор 
раѕћ реализует различные варианты заполнения частично введенных значений. 
Чтобы заполнить значение, введите первые несколько символов и нажмите клави- 
шу Тар. Вот некоторые значения, которые можно использовать из баѕћ. 


® Команда, псевдоним или функция. Если вводимый текст начинается с обычных 
символов, интерпретатор попытается дополнить его командой, псевдонимом 
или названием функции. 


® Переменная. Если вводимый текст начинается со знака доллара ($), интерпре- 
татор завершает текст переменной из текущей оболочки. 


е Имя пользователя. Если текст, который вы вводите, начинается с тильды (~), 
оболочка завершает текст именем пользователя. Тогда ~иѕегпате указывает на 
домашний каталог пользователя. 


ө Имя хоста. Если вводимый текст начинается с символа «эт» (@), оболочка за- 
вершает текст именем хоста, взятым из файла /ес/поз*$. 


СОВЕТ 


Чтобы добавить имена хостов из дополнительного файла, установите переменную НОЅТЕІІЕ в качестве имени это- 
го файла. Он должен быть в том же формате, что и файл /еіс/һоѕіѕ. 


Вот несколько примеров завершения командной строки. (Символ <Таь> озна- 
чает, что нужно нажать клавишу Тар на клавиатуре): 


$ есһо $0$<ТаБ> 
$ са -го<ТаБ> 
$ иѕегт<Тар> 


В первом примере $05 расширяется до переменной $05ТҮРЕ. Далее го расширя- 
ется до домашнего каталога суперпользователя (-гоо*/). Затем иѕегт расширяется 
до команды иѕегтоа. 

Двойное нажатие клавиши Тар творит чудеса. Бывает, что доступны несколько 
вариантов автозавершения введенной строки. В таком случае рассмотрите воз- 
можные способы расширения текста, дважды нажав клавишу Таь в том месте, где 
нужно выполнить автозавершение. 

Далее показан пример того, что получилось бы при проверке вариантов авто- 
завершения для $Р: 
$ еспо $Р<ТарБ><Таб»> 


$РАТН $РРТО $Р$1 $Р52 $Р$4 $РИО 
$ есһо $Р 


В этом случае существует шесть переменных, которые начинаются с $Р. После 
отображения всех вариантов командная строка возвращается в исходное поло- 
жение, из которого и нужно выбрать один из вариантов. Например, если ввести 
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другую Р и снова нажать ТаБ, командная строка будет завершена так: $РРІР (един- 
ственный возможный вариант). 


Вызов командной строки 


После ввода команды вся командная строка сохраняется в истории. Список исто- 
рии сохраняется вплоть до конца сеанса. Далее текущий список записывается 
в файл истории, из которого можно вызвать любую команду в любом другом сеансе. 
После вызова команды можно изменять командную строку, как описано ранее. 
Чтобы просмотреть список истории, используйте команду һіѕёогу. Введите 

команду без параметров или с числом после нее, чтобы установить предел отобра- 
жения последних команд, например: 

$ һіѕіогу 8 

382 аа+е 

383 15 /иѕп/Біп | ог -а | тоге 

384 мап ѕогЕ 

385 са /иѕг/1оса1/біп 

386 мап тоге 

387 иѕегааа -т /һоте/сһгіѕ -и 101 сһгіѕ 

388 раѕѕма сһгіѕ 

389 һіѕогу 8 


Перед каждой командной строкой в списке стоит число. Чтобы вызвать одну из 
этих команд, используйте восклицательный знак (!). Имейте в виду, что в этом случае 
команда выполняется вслепую, без подтверждения оригинала команды. Существует 
несколько способов немедленного запуска команды из списка, например такие. 


© !п— запустить команду под номером п. Замените п номером командной строки, 
и она будет запущена. Например, так выполняется повтор команды да*е под 
номером 382 в предыдущем списке истории: 


$ 1382 
дате 
Егі Јип 29 15:47:57 Ерт 2019 
Ф !!-!! — запустить предыдущую команду. Запускает предыдущую командную 
строку. Вот так можно было бы сразу запустить ту же команду аќе: 
$ 1! 
дате 


Егі Јип 29 15:53:27 ЕОТ 2019 


® |?строка-? — запустить команду со строкой. Запускает самую последнюю ко- 
манду, содержащую определенную строку символов. Например, можно снова 
запустить команду дафе, просто выполнив поиск части этой командной строки 
следующим образом: 
$ 1?ааї? 
аа+е 
Егі Јип 29 16:04:18 ЕРТ 2019 
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Вместо того чтобы сразу запускать команду һіѕёогу, можно вызвать конкретную 
строку и отредактировать ее. Для этого используйте сочетания клавиш из табл. 3.4. 


Таблица 3.4. Сочетания клавиш для работы с историей 


Сочетание | Название Описание 

клавиш 

Клавиши Шаг Нажимайте клавиши со стрелками 1 и У, чтобы 
стрелок перемещаться по командным строкам в списке 


истории и добираться до нужной (С1+Р и С1+№ 
соответственно выполняют те же функции) 


Сє1+к Обратный Нажмите и удерживайте это сочетание клавиш 
последовательный и начните печатать, чтобы найти команду из 
поиск истории Баѕћ 

Сіг1+8 Последовательный Делает то же самое, но ищет по списку вперед (не 
поиск вперед всегда может сработать) 

АІС+Р Обратный поиск Нажмите и введите строку для выполнения 


обратного поиска. После нажмите клавишу Епќег, 
чтобы увидеть самую последнюю командную строку, 
содержащую эту строку 


АМ Поиск вперед Делает то же самое, но ищет по списку вперед 
(не всегда может сработать) 


Еще один способ работы со списком истории — использование команды +с. 
Введите +с, за которой следует номер строки в истории, и эта командная строка 
откроется в текстовом редакторе (в уі по умолчанию введите : мд для сохранения 
и выхода или :4! для выхода, если происходят ошибки в \1). Внесите нужные из- 
менения. При выходе из редактора команда будет выполнена. 

Можно также указать диапазон номеров строк (например, +с 199 105). Все ко- 
манды открываются в текстовом редакторе, а затем выполняются одна за другой 
при выходе из редактора. 

После закрытия интерпретатора список истории сохраняется в файле „.Базп_ 
һіѕ+огу в домашнем каталоге. По умолчанию в истории сохраняется до 1000 ко- 
манд. 


ПРИМЕЧАНИЕ 


Некоторые суперпользователи отключают функцию истории, вызывая переменную НІЅТНІІЕ в /Чеу/пи! или 
просто оставляя пустой переменную НІЅТЅІ7Е. Таким образом предотвращается потенциальное использование 
информации о действиях суперпользователя. Если вы администратор с правами суперпользователя, вам мо- 
жет быть полезно отключить эту функцию по тем же причинам. Кроме того, так как история сохраняется при 
правильном выходе из интерпретатора, предотвратить сохранение можно, завершив процесс интерпретатора. 
Например, чтобы завершить оболочку с идентификатором процесса 1234, введите КИ! -9 1234 из любого ин- 
терпретатора. 
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Соединение и расширение команд 


Мощной особенностью интерпретатора является возможность перенаправления 
ввода и вывода команд в другие команды и файлы и обратно. Чтобы связать 
команду, интерпретатор применяет метасимволы. Метасимвол — это печатный 
символ с особым значением для командного интерпретатора: он соединяет и рас- 
ширяет команды. 

К метасимволам относятся символ конвейера (|), амперсанд (&), точка с за- 
пятой (;), правая скобка ()), левая скобка ( (), знаки «меньше» (<) и «больше» (>). 
В следующих разделах мы рассмотрим, как использовать метасимволы в командной 
строке для смены поведения команд. 


Расширение команд с помощью конвейера 


Метасимвол конвейера (|) соединяет выходные данные одной команды с входны- 
ми данными другой. Таким образом одна из команд может предоставлять данные, 
а другая — результаты. Вот пример командной строки, которая включает в себя 
конвейеры: 


$ саї /ефс/раз$ма | зогф | 1е$$ 


Эта команда выводит список содержимого файла /еёс/раѕѕма и передает вы- 
ходные данные в команду зог*. Команда зог* собирает имена пользователей, 
которые начинаются с каждой строки файла /еёс/раѕѕмӣ, сортирует их в алфа- 
витном порядке и передает выходные данные команде 1еѕ5 (чтобы пролистать 
выходные данные). 

Конвейеры являются прекрасной иллюстрацией того, что система ОМІХ, пред- 
шественница Гіпих, состояла из множества строительных блоков. Обычно в ОХ 
утилиты подключались различными способами, чтобы выполнять разные задания. 
Например, до появления графических текстовых процессоров пользователи созда- 
вали простые текстовые файлы, которые содержали макросы с форматированием. 
Чтобы увидеть, как выглядит документ в итоге, они использовали бы следующую 
команду: 


$ вип21р < /ич5г/зПаге/тап/тап1/гер.1.52 | пго# -с -тап | 1е55 


В данном примере содержимое справочной страницы вгер (вгер.1.в2) направ- 
ляется в команду вип71р для распаковки. Выходные данные вип21р передаются 
в команду пго++ для форматирования справочной страницы с помощью ручного 
макроса (-тап). Чтобы отобразить выходные данные, они передаются по конвейеру 
в команду 1е5$. Поскольку отображаемый файл является обычным текстом, в него 
можно добавить любое количество параметров редактирования перед выводом. 
Можно сортировать содержимое, изменять или удалять некоторые части, а также 
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вводить текст из других документов. Суть в том, что все эти функции не находятся 
в одном месте, а их результаты с конвейерной передачи перенаправляются между 
несколькими командами. 


Последовательные команды 


Может потребоваться выполнить последовательность команд, причем предше- 
ствующая команда должна завершаться до начала следующей. Это возможно, 
если ввести несколько команд в виде одной командной строки, разделив их точкой 
с запятой (;): 


$ дате ; «го -те мегу1агвейоситепё | 1рг ; да+е 


В этом примере я форматировал огромный документ и хотел знать, сколько 
времени это займет. Первая команда (да*е) показывала дату и время до начала 
форматирования. Команда ёго#+ отформатировала документ, а затем передала 
вывод на печать. Когда процесс форматирования закончился, дата и время ото- 
бразились снова, так я узнал, сколько времени потребовалось команде +го++ для 
его завершения. 

та11 — еще одна полезная команда, которую можно добавить в конец длинной 
командной строки, например: 


; Ма11 -5 "Еіпіѕһеа һе 1опё соттапа" с һгіѕ@ехатр1е. сот 


Затем, когда команда завершит работу, сообщение об этом будет отправлено 
выбранному пользователю. 


Выполнение команд в фоновом режиме 


Выполнение отдельных команд может занять некоторое время. Однако бывает, что 
интерпретатор необходим и для других дел и нет возможности дожидаться оконча- 
ния работы такой команды. В таких случаях можно запустить команды в фоновом 
режиме с помощью амперсанда (&). 

Команды форматирования текста (например, таі1 и го++, описанные ранее) 
могут выполняться в фоновом режиме, если документ большой. Можно создать 
собственные скрипты оболочки, которые работают в фоновом режиме, чтобы по- 
стоянно проверять, произошли ли определенные события, например заполнение 
жесткого диска или вход пользователей в систему. 

Далее приведен пример команды, выполняемой в фоновом режиме: 


$ ТгоҒЕ -те уегу1агвейоситепё | 1рг & 


Не закрывайте интерпретатор, пока процесс не закончится или не будет завер- 
шен принудительно. Другие способы управления фоновыми процессами описаны 
в главе 6. 
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Расширение команд 


С помощью подстановки команд можно получить выходные данные команды, 
которые интерпретирует оболочка, а не сама команда. В таком случае стандарт- 
ный вывод одной команды может стать аргументом для другой. Две формы 
подстановки команд — это $(соттапа) и ` соттапа` (обратные кавычки, а не оди- 
нарные). 

Команда в этом случае может включать параметры, метасимволы и аргументы. 
Далее приведен пример использования подстановки команд: 


$ уі $(Е1та /поте | вгер ху22у) 


Здесь подстановка команд происходит до выполнения команды \1. Во-первых, 
команда +1п4 запускается в каталоге /һоте и выводит все файлы и каталоги, раз- 
мещенные ниже в файловой системе. Выходные данные передаются команде вгер, 
фильтрующей все файлы, за исключением тех, в имени которых есть строка хуг2у. 
Наконец, команда уі открывает все файлы для редактирования (по одному за раз), 
если их имена содержат хуг2у. (Если вы запускаете эту программу и незнакомы 
суі, введите а!, чтобы выйти из файла.) 

Этот пример полезен, если нужно отредактировать файл, у которого известно 
имя, но не местоположение. Локально вы можете найти и открыть каждый файл, 
расположенный в выбранном месте в файловой системе. (Другими словами, не ис- 
пользуйте команду вгер из корневого каталога файловой системы, иначе интерпре- 
татор попытается отредактировать несколько тысяч файлов.) 


Выполнение арифметических операций 


Бывает, необходимо передать команде арифметические результаты. Существуют 
две формы для расширения арифметического выражения и передачи его в интер- 
претатор: $ [выражение] и $ (Выражение), например: 


$ есһо "І ат $[2020 - 1957] уеагѕ о1а." 
І ам 63 уеаг$ о1а. 


Оболочка сначала интерпретирует арифметическое выражение (2020 - 1957), 
а затем передает эту информацию команде есһо. Эта команда отображает текст 
с результатом вычислений (63). 

Другой пример: 
$ есһо "Тһеге аге $(1$ | мс -м) +11е$ іп +һіѕ а91гесфогу." 
Тһеге аге 14 +11е$ іп [15$ дігесЁогу. 


Здесь перечисляется содержимое текущего каталога (15) и запускается команда 
подсчета слов для определения количества найденных файлов (мс -м). Полученное 
число (в данном случае 14) выводится вместе с остальной частью приведенного 
предложения. 
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Расширение переменных 


Переменные, которые хранят информацию в интерпретаторе, можно расширить 
с помощью знака доллара ($). При расширении переменной в командной строке 
вместо имени переменной выводится ее значение, как показано далее: 


$ 15 -1 $ВАЅН 
-Гихг-хг-х. 1 гооЁ гооЁ 1219248 Осі 12 17:59 /иѕг/ріп/Баѕћ 


Применение $ВАЅН в качестве аргумента для 15 -1 приводит к выводу длинного 
списка команды баѕћ. 


Использование переменных интерпретатора 


Командный интерпретатор хранит информацию, которая может быть полезна для 
сеанса, в так называемых переменных. Примеры переменных: $5НЕШ (определяет 
задействуемую оболочку), $Р$1 (приглашение командной строки) и $МАТЕ (опре- 
деляет местоположение почтового ящика пользователя). 

С помощью команды ѕеё можно просмотреть все переменные, установленные 
для текущего интерпретатора. Подмножество локальных переменных называется 
окружением переменных. Переменные окружения — это переменные, которые 
можно экспортировать в другие интерпретаторы, открытые из текущей оболочки. 
Введите епу, чтобы увидеть переменные окружения. 

Можно ввести еспо $ЗНАЧЕНИЕ, где ЗНАЧЕНИЕ заменяется именем конкретной 
переменной из среды, чтобы ее указать. Поскольку в Глпих что угодно можно 
сделать несколькими способами, попробуйте ввести дес1аге, чтобы вывести спи- 
сок текущих переменных окружения и их значений вместе со списком функций 
интерпретатора. 

Помимо тех, что задает пользователь, есть переменные, устанавливаемые си- 
стемными файлами. Они хранят, например, расположение файлов конфигурации, 
почтовых ящиков и каталогов путей. Они также могут хранить значения для под- 
сказок интерпретатора, размер списка истории и тип операционной системы. Вы 
можете ссылаться на значение любой из этих переменных, ставя перед ней знак 
доллара ($) в любом месте командной строки: 


$ есһо ФИ$ЕВ 
сһгіѕ 


Эта команда выводит значение переменной ОЅЕК, которая содержит имя пользо- 
вателя (сһгіѕ). Введите любое значение для У5ЕВ, чтобы получить новое значение 
вместо текущего. 

При запуске интерпретатора (вход в систему через виртуальную консоль 
или окно терминала) большинство переменных окружения уже готовы к работе. 
В табл. 3.5 показаны некоторые переменные, задаваемые либо при использовании 
интерпретатора Баѕћһ, либо для работы с различными функциями. 
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Таблица 3.5. Общие переменные окружения 


Переменная 


Описание 


ВАН 


Отображает путь к оболочке, которая занимается интерпретацией 
команд. Обычно это путь /Бп/БазВ 


ВАЅН ҮЕК5ІОМ 
ЕОІр 


Отображает конкретную версию Баѕћ 


Идентификатор текущего пользователя. Он назначается при 
запуске оболочки на основе записи пользователя в файле /еёс/ 
разм 


ЕСЕРІТ 


Редактор по умолчанию, используемый командой К для работы 
с командой ћіѕќогу. Если эта переменная не задана, берется 
команда уі 


НТЕН. 


Имя файла для сохранения списка истории оболочки (по 
умолчанию хранится в$НОМЕ/.Баѕћ һіѕќогу) 


НІЅТЕПЕЅІХЕ 


Максимальное количество строк, сохраняемых в файле истории. 
После достижения лимита самые старые команды удаляются. 
Лимит по умолчанию — 1000 


НІЅТСМр 


Номер истории текущей команды 


НОМЕ 


Текущая домашняя папка пользователя. Это текущий рабочий 
каталог пользователя при входе в систему или применении 
команды с4 с любыми параметрами 


НОЗТТУРЕ 


Строка, описывающая компьютерную архитектуру устройства, 

на котором запущена операционная система. Для персональных 
компьютеров, совместимых с 1661, это 1386, 1486, 1586, 1686, 
например 1386-Ппих. Для 64-разрядных машин АМОР” это значение 
х86 64 


МАП. 


Отображает электронную почту текущего пользователя. Это файл 
пользователя в каталоге /уаг/зроо/тай 


ОГОР\УО 


Отображает предыдущий рабочий каталог, используемый 
в оболочке 


ОЗТУРЕ 


Строка, определяющая операционную систему, в которой работает 
оболочка. Для Ее4ога Глпих значение ОЗТУРЕ равно Ппих или 
їпих-епи в зависимости от типа оболочки. (Ваѕћ может работать 

и в других операционных системах) 


РАТН 


Список каталогов, которые будет проверять система при 
обращении к той или иной команде. Когда пользователь вводит 
команду, система проверяет указанные папки последовательно. 
Пример папки: /іп:/иѕг/Біп: /иѕг Лоса /Ып:/иѕг/Ыіт/Х11:/ 
иѕг/Х1166/іп:-/Ып. Если команды нет в переменной РАТН, 
необходимо ввести полный или относительный путь к ней. 

Для суперпользователя значение также включает /з, /иѕг/$Біп 


и /иѕг Лоса1/$ Ып 


РРІр 


Идентификатор родительского процесса (РПО) оболочки Баѕћ 
(например, окно терминала, содержащее оболочку) 


Продолжение = 
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Таблица 3.5 (продолжение) 


Переменная Описание 


РКОМРТ СОММАМР” | Если установлен в имени команды, команда выполняется 

каждый раз перед отображением первичного приглашения. После 
установки команда РКОМРТ СОММАМО=4ае выводит текущие 
дату/время до появления приглашения 


Р51 Строка приглашения на ввод. Эта переменная используется для 
определения того, как будет выглядеть данная строка. Есть еще 
вторая строка Р52, которая применяется при многострочной 


команде 

РУМО Текущий рабочий каталог. Значение изменяется каждый раз, когда 
каталоги меняются с помощью команды сі 

ВАМРОМ Возвращает случайное число от 0 до 99 999. Значение переменной 
дает генератор случайных чисел 

ЗЕСОМО5 Количество секунд с момента запуска оболочки 

НУІ Указывает уровень оболочки, увеличивающийся на единицу 


при каждом запуске новой оболочки Баѕћ. При входе в оболочку 
переменная 5НІУТ равна 1 


ТМООТ Продолжительность (в секундах) ожидания ввода оболочкой. 
Значение по умолчанию, равное нулю, показывает, что нужно ждать 
бесконечно. После того как время истекло, оболочка завершает 
работу. Используется как функция безопасности, снижающая 
вероятность применения оболочки несанкционированными 
лицами. (В настройках входа в систему необходимо разрешить 
оболочке выходить из системы) 


Создание и использование псевдонимов 


С помощью команды а1іаѕ вы можете эффективно создавать псевдонимы для 
любых команды и параметров, чтобы запускать их позднее. А еще добавлять и пере- 
числять псевдонимы. Рассмотрим следующие примеры применения псевдонимов 
из оболочки Баѕћ: 

$ а1іаѕ р='рма ; 15 -СЕ' 

$ а1іаѕ гт='гт -і' 


В первом примере буква р назначается для выполнения команды рма, а затем 
для запуска 15-СЕ, чтобы вывести на экран текущий рабочий каталог и перечислить 
его содержимое в виде столбца. 

Во втором примере команда выполняется с параметром -1 при каждом вводе гт. 
(Это псевдоним, который устанавливается автоматически для суперпользователя. 
Вместо того чтобы просто удалять файлы, оболочка будет предлагать удалить 
каждый файл по отдельности. Это предотвращает автоматическое удаление всех 
файлов в каталоге при ошибке ввода команды типа ги *.) 
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Находясь в командном интерпретаторе, можно проверить, какие псевдони- 
мы установлены, введя команду а1іаѕ. Чтобы удалить все псевдонимы, введите 
ипа1іаѕ. (Имейте в виду, что, если псевдоним задан в файле конфигурации, он 
будет установлен снова при открытии другой оболочки.) 


Выход из командного интерпретатора 


Чтобы выйти из оболочки, введите ехіё или нажмите сочетание клавиш С+5. 
Если вы используете оболочку из окна терминала, выход из нее закроет и терми- 
нал. Если работаете в виртуальной консоли, оболочка завершит работу и откроет 
приглашение войти в систему. 

Если в одном сеансе открыты несколько оболочек, выход из одной вернет 
пользователя к предыдущей. Например, команда ѕи открывает оболочку нового 
пользователя. Выход из этой оболочки просто возвратит вас в исходную обо- 
лочку. 


Создание среды оболочки 


Оболочку можно настроить под себя, чтобы работать более эффективно. Это зна- 
чит, что можно установить псевдонимы для создания ярлыков любимых командных 
строк и переменных окружения для хранения информации. Добавляя эти параме- 
тры в файлы конфигурации оболочки, можно сделать их доступными при каждом 
открытии оболочки. 


Настройка оболочки 


За работу оболочки отвечают несколько файлов конфигурации. Некоторые файлы 
используются для всех пользователей и всех интерпретаторов, а другие подходят 
только для пользователя, создавшего конкретный файл конфигурации. В табл. 3.6 
показаны файлы, необходимые для тех, кто применяет оболочку Баз в Глпих. 
(Обратите внимание на символ ~ в именах файлов. Он говорит о том, что файл 
находится в домашнем каталоге соответствующего пользователя.) 


Таблица 3.6. Файлы конфигурации Баѕћ 


Файл Описание 


/ес/ргоШе Загружается и выполняется при запуске любой командной оболочки 

в системе. Этот файл устанавливает значения для пути и настраивает 
переменные окружения для таких параметров, как расположение почтового 
ящика и размер файлов истории. Файл /ес/рго е собирает также параметры 
оболочки из файлов конфигурации в каталоге /еёс/ргое.4 


Продолжение = 


3 
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Таблица 3.6 (продолжение) 


Файл Описание 


/еёс/Љаѕћтс Файл выполняется для каждого пользователя, который запускает оболочку 
Баѕћ. Он устанавливает приглашение по умолчанию и может добавлять 
один или несколько псевдонимов. Значения в этом файле могут быть 
переопределены информацией, содержащейся в файле ~/.Баѕһс каждого 
пользователя 


-/БазЬ_рго- | Используется каждым пользователем для ввода информации, специфичной 
Не для его взаимодействия с интерпретатором. Выполняется только один 

раз — при входе пользователя в систему. По умолчанию устанавливает 
несколько переменных окружения и запускает пользовательский файл Базргс. 
Позволяет добавлять переменные окружения и передавать их будущим 
оболочкам 


-/.БазЬтгс Содержит информацию, специфичную для оболочек пользователя. 
Считывается при входе в систему, а также каждый раз, когда открывается 
новая оболочка Баѕћ. Лучше добавлять псевдонимы в этот файл, чтобы они 
сработали в оболочке 


-/ЪазВ_105- | Выполняется при выходе из системы (из последней оболочки Баѕћ) 
оиб 


Чтобы изменить файлы /еёс/рго#і1е и /еёс/баѕһћес, необходимо быть супер- 
пользователем. Однако будет эффективнее создать файл /еёс/ргоғі1е.4/сиѕ&от. ѕћ 
для добавления общесистемных настроек, а не редактировать эти файлы напря- 
мую. Пользователи могут изменять информацию в файлах $НОМЕ/ .баѕћ_рго+і1е, 
ФНОМЕ/ „.БазНгс и $НОМЕ/ .Ба$П_1орои* в собственных домашних каталогах. 

Более продвинутый редактор \1 описан в главе 5, а пока можно работать со встро- 
енным редактором для простых текстовых файлов. Например, чтобы отредактиро- 
вать и добавить информацию в файл $НОМЕ/ .БазИгс, введите следующую команду: 


$ папо $НОМЕ/ .Ба$Вгс 


В открытом файле переместите курсор в его нижнюю часть с помощью клави- 
ши $. Введите нужную строку, например, а1іаѕ ӣ=' йае+%0'. Чтобы сохранить файл, 
нажмите сочетание клавиш Сі+О (буква «О»), чтобы выйти — С+Х. В следующий 
раз, войдя в систему или открыв новую оболочку, вы сможете использовать соз- 
данный псевдоним (в данном случае 4). Чтобы новая информация была доступна 
из текущей оболочки, введите: 


$ зоигсе $НОМЕ/ .Ба$Игс 
$а 
06/29/19 


В следующих разделах мы рассмотрим элементы, которые необходимо добав- 
лять в файлы конфигурации оболочки. В большинстве случаев эти значения до- 
бавляются в файл .БазНгс в домашней папке. Но если вы администрируете систему, 
то сможете установить некоторые из них используемыми по умолчанию для всех 
пользователей системы Глпих. 
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Настройка приглашения 


Приглашение состоит из набора символов, которые появляются каждый раз, когда 
оболочка готова выполнять команду. Переменная окружения Р51 задает, что при- 
глашение содержит и с чем будет происходить взаимодействие большую часть 
времени. Если оболочке требуется дополнительный ввод, она задействует значения 
Р52, Р53 и Р54. 

В установленных системах пих приглашение содержит не только знак дол- 
лара или фунта. Например, в дистрибутивах Еейога или Кеа Наб Епѓегргіѕе Ііпих 
приглашение содержит имена пользователя и хоста и базовое имя текущего рабоче- 
го каталога. Эта информация заключается в квадратные скобки и сопровождается 
знаком доллара (для обычных пользователей) или знаком фунта (для суперполь- 
зователей). Вот как может выглядеть приглашение: 


[сһгіѕ@туһоѕ біп]% 


Если папки будут изменены, то вместо имени файла біп будет стоять имя нового 
каталога. И при входе на другой хост или под другим пользователем информация 
в строке изменится. 

Можно использовать несколько специальных символов (с обратной косой чер- 
той), чтобы добавить в приглашение информацию. Специальные символы приме- 
няются для вывода номера терминала, даты и времени, а также другой информации. 
В табл. 3.7 приведены некоторые примеры (более подробная информация имеется 
на справочной странице баѕћ). 


Таблица 3.7. Символы для добавления информации в приглашение оболочки 


Символ | Описание 


\! Порядковый номер данной команды в истории команд. Включает в себя все 
предыдущие команды, сохраненные для конкретного пользователя 

\# Текущий номер команды. Включает в себя только команды активной оболочки 

\$ Символ #, если оболочка запущена суперпользователем, и $, если оболочка 


запущена обычным пользователем 


\\М/ Текущий рабочий каталог (без указания пути). Например, если текущий рабочий 
каталог — /уаг/зроо/ тай, то это значение отображается как тай 


\[ Начало последовательности непечатаемых символов (этот символ может 
использоваться для того, чтобы включить в текст подсказки последовательность 
управляющих символов терминала) 


\] Конец последовательности непечатаемых символов 

\\ Обратный слеш 

\а Дата в формате «день, месяц, число», например Ѕаї Јар 23 
\№ћ Имя хоста, на котором запущена оболочка 

\п Новая строка (перевод строки) 


Продолжение = 
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Таблица 3.7 (продолжение) 


Символ | Описание 
\һпп Символ, имеющий восьмеричный код ппп 
\5 Имя текущей оболочки. Для оболочки Баѕћ — значение Баѕћ 
\Е Текущее время в 24-часовом формате «часы, минуты, секунды», например 10:14:39 
\и Имя пользователя, запустившего оболочку 
\\ Полное имя текущего рабочего каталога, начиная с корневого 
СОВЕТ 


Если приглашение временное, то, набирая его в командной строке, поместите значение Р51 в кавычки. Напри- 
мер, введите ехрогї Р51="[\ \м/\$", чтобы увидеть следующее приглашение: 


[20:26:32 /маг/5роо1]$. 


Чтобы сделать изменение в приглашении постоянным, добавьте значение Р51 
в файл .Баѕһгс в домашнем каталоге (при условии, что используете оболочку 
баѕћ). Возможно, в этом файле уже есть значение Р51, которое можно изменить. 
Обратитесь к руководству Ваѕћ (Чар.огд/НОМ/ТО/Ваѕћ-Рготрі-НОМТО), чтобы узнать 
больше об изменении цветов, команд и других функций командной строки интер- 
претатора Баѕһћ. 


Добавление переменных окружения 


Бывает, что необходимо добавить несколько новых переменных окружения в файл 
„Базйгс. Вот какие переменные позволяют сделать работу с оболочкой более эф- 
фективной и результативной. 


® тмоит. Устанавливает, как долго оболочка может быть неактивной, прежде чем 
БазН автоматически завершит работу. Значение выражается в количестве секунд, 
в течение которых оболочка ожидает получения входных данных. Эта функция 
полезна в качестве системы безопасности в случае, если пользователь покинет 
рабочее место, но не выйдет из Глпих. Чтобы предотвратить выход из системы 
во время работы, установите значение ТМ00Т=180 (разрешение на 30 минут ожи- 
дания). Можно использовать любой сеанс терминала, чтобы закрыть текущую 
оболочку через заданное количество секунд, например ТМОЧТ=36. 


® РАТН. Как описывалось ранее, переменная РАТН задает каталоги, в которых вы- 
полняется поиск применяемых команд. При частом использовании каталогов, 
которых нет в пути, команды можно добавлять. Для этого нужно добавить в пе- 
ременную РАТН в файл .Баѕһгс. Например, чтобы добавить каталог / веёѕи##/ 
ріп, введите: 


РАТН=$РАТН: /веф$и+/61п ; ехроге РАТН 
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Здесь сначала все текущие каталоги пути считываются в новый путь ($РАТН), 
затем добавляется каталог /вее$и+/61п и экспортируется новая перемен- 
ная РАТН. 


ВНИМАНИЕ! 


Некоторые пользователи присоединяют текущий каталог к своему пути, добавляя каталог, идентифицируемый 
просто как точка (.), как в примере: 


РАТН=. :$РАТН ; ехрогї РАТН 


Таким образом можно запускать команды в текущем каталоге перед вычислением любой другой команды в пути 
(легко привыкнуть, если есть опыт работы с 005). Однако безопасность системы снижается из-за того, что можно 
оказаться в каталоге, содержащем команду, которую вы не собираетесь запускать из этого каталога. Например, 
злоумышленник может поместить команду [ в каталог, который вместо того, чтобы перечислить содержимое ва- 
шего каталога, будет выполнять другие задачи. Поэтому настоятельно не рекомендуется добавлять точки в путь. 


® ИНАТЕ\УЕВ. Можно создавать собственные переменные окружения, чтобы до- 
бавить ярлыки в работу. Выберите любое незадействованное имя и присвойте 
ему нужное значение. Например, если вы часто используете файлы в каталоге 
/могк/ёіте/Ғ11е5/іпғо/, попробуйте добавить такую переменную: 


М= /могк/іме/Ғі1еѕ /іпҒо/тетоѕ ; ехроге М 


Для этого в текущем каталоге введите команду са $. Можно запустить из этого 
каталога программу һо+аое, набрав $М/һо+аор. Здесь попробуйте отредактиро- 
вать файл под названием бип, напечатав уі $М/Бип. 


Информация о командах 


На первый взгляд работа с оболочкой может показаться устрашающей. Все, что 
отображается, — это приглашение командной строки. Как же тогда узнать, какие 
команды доступны, какие параметры они принимают и как использовать допол- 
нительные функции? К счастью, найти ответы легко. Перечислю, где можно по- 
смотреть дополнительную информацию к этой главе. 


® Проверьте путь РАТН. Введите еспо $РАТН. Появится список каталогов с до- 
ступными командами. В эти каталоги входит большинство стандартных команд 
Тлпих, например: 


$ 15 /Ьіп 

агсћ аа ФизегтоипЕ 1Іоаакеуѕ ту 

амк ағ вамк 1Іоріп папо 

Базепате Ӣтеѕр веїтехі 15 пеёѕ+а+ 

баѕћ ЯпѕаӢотаіппате вгер 1561к пісе 

саї аотаіппате ваг 15сегоир піѕаӢотаіппате 


сһегр есһо Бип2ір 155и№ѕ5уѕ ріпұе 
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сһтоа еа 571р та11 р1п26 

сһомп ергер ћһоѕ&пате таі1х рѕ 

ср епу ірса1с ткаіг рма 

сріо ех кба тоае ткпоа геаа1іпк 

(11 Ға15ѕе Ккеус+1 ткеетр геа 

сие Ғегер кі11 тоге гедһа+ 156 іпі 
ааѕћ Ғіпа 1іпк тоипЁ гт 

Чате 1 пати 1п тоипЕроіп гтаіг 


Используйте команду Бер. Некоторые команды уже встроены в оболочку, 
поэтому не отображаются в каталоге. Команда һе1р выводит список этих 
команд и параметры, доступные для каждой из них. (Введите һе1р | 1е5$, чтобы 
пролистать список.) Чтобы узнать о конкретной встроенной команде, введите 
һе1р команда, заменив слово команда нужным именем. Команда һе1р работает 
только в оболочке Баз. 


Применяйте --Вер с другой командой. Многие команды принимают параметр 
- -һе1р, который информирует о том, как используется команда. Например, если 
ввести дате --һе1р | 1е5$, то в выводе будут показаны не только параметры, но 
и форматы времени, которые можно применять с командой дате. Другие коман- 
ды просто задействуют параметр -һ, например #415К -һ. 


Используйте команду шо. Команда 1п+о также отображает информацию 
о командах из интерпретатора. Она может перемещаться по иерархическим 
связям и искать сведения о командах и других элементах. Не у всех команд есть 
описание, помещенное в информационную базу данных, но иногда там можно 
найти больше данных, чем на справочной странице. 


Воспользуйтесь командой тап. Чтобы узнать больше о конкретной команде, 
введите тап команда, заменив слово команда нужным именем. На экране появит- 
ся описание команды и ее параметров. 


Справочные тап-страницы — это наиболее распространенное средство полу- 


чения информации о командах и других основных компонентах системы Гіпих. 
Справочные страницы разделены на категории, перечисленные в табл. 3.8. Обычно- 
му пользователю будут интересны справочные страницы из раздела 1. Системному 
администратору подойдут разделы 5 и 8, а иногда 4. Программистов чаще всего 
интересуют разделы 2 и З. 


Таблица 3.8. Разделы справочных страниц 


Номер Название раздела Описание 

раздела 

1 Команды пользователя Команды, которые могут быть запущены из оболочки 
обычным пользователем (как правило, никаких 
административных прав не требуется) 

2 Системные вызовы Функции программирования, которые используются 
в приложении для вызова ядра 
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Номер Название раздела Описание 
раздела 
З Библиотечные функции | Функции программирования, обеспечивающие 


интерфейсы к определенным библиотекам 
программирования (например, для определенных 
графических интерфейсов или других библиотек, 
работающих в пользовательском пространстве) 


4 Специальные файлы Узлы файловой системы, представляющие аппаратные 
и внешние устройства устройства (например, терминалы или СО-приводы) 
или программные устройства (к примеру, генераторы 
случайных чисел) 


5 Форматы файлов Типы файлов (например, графический или текстовый 
файл обработки) или конкретные файлы конфигурации 
(к примеру, разз\ А или егоир) 


6 Игры и демонстрации Доступные в системе игры 
7 Разное Протоколы, файловые системы, наборы символов ит. д. 
8 Команды для системного | Команды, для использования которых требуются 
администрирования права суперпользователя или другие привилегии 
администратора 


Параметры этой команды позволяют выполнять поиск в базе данных справоч- 
ных страниц или отображать их на экране. Далее представлены несколько при- 
меров параметров: 


$ тап -К раѕѕма 


раѕѕма (1) - ирдафе иѕег'ѕ аиёһепёісаёіоп Ёокепѕ 
раѕѕма (5) - раѕѕмога +11е 

$ тап раѕѕма 

$ тап 5 раѕѕма 


Параметр -К выполняет поиск по разделам «имя» и «описание» всех справочных 
страниц, установленных в системе. Существует около дюжины справочных стра- 
ниц, на которых слово раѕѕма есть в названии или описании команды. 


ПРИМЕЧАНИЕ 


Если тап -К не выводит никаких данных, возможно, база данных справочных страниц не была добавлена. Введи- 
те тапабаѕ в корневом каталоге, чтобы обработать базу данных страниц. 


Предположим, что две справочные страницы, которые меня интересуют, — это 
команда раѕѕма (из раздела 1) и файл раѕѕма (из раздела 5). Если просто набрать 
тап раѕѕма, появится страница из раздела 1, а мне нужна страница из раздела 5, 
поэтому ввожу тап 5 раѕѕма. 

При просмотре справочной страницы можно изучать части файла с помощью 
клавиш Раде Бомт и Раде Ур (листание постранично). Используйте клавишу Епќег 
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или 1 и } для перемещения на одну строку за раз. Нажмите клавишу / и введите тер- 
мин для его поиска в документе. Нажмите п, чтобы повторить поиск вперед, или №, 
чтобы повторить поиск назад. Для выхода со справочной страницы нажмите 9. 


Резюме 


Чтобы стать опытным пользователем Глпих, необходимо уметь работать с обо- 
лочкой для ввода команд. Эта глава посвящена оболочке баѕћ, наиболее часто 
применяемой в системах пих. Вы узнали, как структурированы команды и как 
задействуются специальные функции, такие как переменные, завершение команд 
и псевдонимы. 

В следующей главе рассмотрим, как перемещаться по файловой системе Шіпих 
из командной строки оболочки. 


Упражнения 


Выполните упражнения, чтобы проверить свои знания об использовании интерпре- 
татора. Для этого применяйте систему Еейога или Кеа Наб Ерѓегргіѕе Глпах (хотя 
некоторые примеры сработают и в других системах Глпих). Если затрудняетесь 
с решением заданий, воспользуйтесь ответами к упражнениям, приведенными 
в приложении Б (хотя Глпах позволяет решать задачи разными способами). 


1. С рабочего стола перейдите в третью виртуальную консоль и войдите в свою 
учетную запись. Запустите несколько команд. Затем выйдите из оболочки 
и вернитесь на рабочий стол. 


2. Откройте окно терминала и измените цвет шрифта на красный, а фона — на 
желтый. 


З. Найдите расположение команды моип* и справочной страницы +гасератн. 
4. Введите следующие три команды: 


$ саї /ефс/ра$$ма 
$ 15 $НОМЕ 
$ дате 


а затем вызовите и измените их, как описано далее. 
" Используйте командную строку, чтобы вызвать команду са* и сменить файл 
/ес/раѕѕма на файл /еїс/егоир. 


= Вызовите команду 15, определите, как отсортировать файлы по времени 
(с помощью справочной страницы), и добавьте этот параметр в командную 
строку 15 $НОМЕ. 


= Добавьте формат в команду даќе, чтобы отобразить выходные данные даты 
в виде «месяц/день/год». 


10. 
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Выполните следующую команду, набрав как можно меньше символов (исполь- 
зуя автозавершение с помощью клавиши Таб): 


Базепате /иѕг/ѕһаге/аос/ 


Применяйте команду са* для перечисления содержимого файла /еёс/ѕегуісеѕ 
и передачи этого содержимого в команду 1е55, чтобы пролистать его (нажмите д, 
чтобы выйти, когда закончите). 


Выполните команду даѓе таким образом, чтобы выходные данные этой коман- 
ды выдавали текущие день, месяц, дату и год. Пусть текст появится в другой 
командной строке и будет выглядеть следующим образом (ваша дата, конечно, 
будет другой): То4ау іѕ ТВигз4ау, Оесетфег 19, 2019. 


С помощью переменных выясните имя вашего хоста, имя пользователя, обо- 
лочки и домашних каталогов. 

Создайте псевдоним тураѕѕ, который всегда будет отображать содержимое 
файла еёс/раѕѕма при входе в систему или открытии новой оболочки из своей 
учетной записи. 


Отобразите справочную страницу для системного вызова тоип*. 


Файловая 
система 


В этой главе 


ш Файловая система пих. 

ш Атрибуты файлов и каталогов. 

и Создание файлов и каталогов. 

ш Изменение владельца и прав доступа. 
ш Копирование и перемещение файлов. 


Файловая система Ппих — это структура, в которой хранится вся информация на 
компьютере. Фактически одним из определяющих свойств систем ОМІХ, на кото- 
рых основана пих, является то, что почти все, что находится в вашем компьютере 
(данные, команды, символические ссылки, устройства и каталоги), представлено 
элементами файловых систем. Для работы с Глпих очень важно знать, где что на- 
ходится и как задействовать файловую систему из оболочки. 

В Гіпих организована иерархия каталогов. В каждом каталоге находятся файлы 
и другие каталоги. Можно создать ссылку на любой файл или каталог, используя 
либо полный путь (например, /һоте/јое/туғҒі1е.+х*), либо относительный путь 
(например, если /һоте/јое — это текущий каталог, то можно просто ссылаться на 
файл через ту+і1е.х+). 

Если составить карту файлов и каталогов в Глпиах, то она будет выглядеть как 
перевернутое дерево. Вверху находится корневой каталог (также называемый ка- 
талогом гоо), который представлен одной косой чертой (/). Ниже располагается 
список общих каталогов системы Глпих, таких как ђбіп, деу, поме, 116 и +тр. Каждый 
из них, а также каталоги, добавленные в корневой, могут содержать подкаталоги. 

На рис. 4.1 показано, как организована файловая система Г4пих. В качестве 
примера связи каталогов здесь приведен каталог /һоте, содержащий подкаталог 
для пользователя јое. В каталоге јое находятся подкаталоги реѕк+ёор, роситеп&5ѕ 
и др. Чтобы добраться до файла тето1. дос, находящегося в каталоге тетоѕ, нужно 
ввести полный путь к нему: /һоте/јое/ Рроситепіѕ /тето$ /тето1 . ос. Если текущий 
каталог — /һоте/јое/, то можно ввести роситеп+ѕ /тето$ /тето1. дос. 
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ріп Шеј 


тіѕс 


роої һоте теаіа тп ргос Ѕріп {тр уаг 


Оеѕкіор Ооситепіѕ Оомпіоааѕ Миѕіс Рісїигеѕ 


тето$ р!ап$ ргојесїѕ 


тето1.аос 


Рис. 4.1. Иерархия файловой системы Шпих 


Некоторые из этих каталогов пих могут вас заинтересовать. 


/61п — содержит общие пользовательские команды пих, такие как 1$, ѕ0ог+, 
Дате и сһтоа. 


/Бооф — включает в себя загрузочное ядро Піпих, диск начальной инициализа- 
ции и файлы конфигурации загрузчика (СКОВ). 


/аеу — содержит файлы, представляющие точки доступа к устройствам в систе- 
мах пользователя. К ним относятся устройства терминала (++у*), жесткие диски 
(һа* и $4*), оперативная память (гаш*) и СО-ВОМ (са*). Пользователи могут 
получить доступ к этим устройствам непосредственно через файлы устройств, 
однако приложения часто скрывают фактические имена устройств от конечных 
пользователей. 


/ефс — содержит файлы конфигурации администратора. Большинство этих 
файлов являются обычными текстовыми файлами, которые, если у пользова- 
теля есть соответствующие права доступа, можно отредактировать с помощью 
любого текстового редактора. 


/ћоте — содержит каталоги, назначенные каждому обычному пользователю 
с учетной записью входа. (Суперпользователь — исключение, он использует 
/гоо* в качестве домашнего каталога.) 


/116 — содержит общие библиотеки, необходимые приложениям в /61пи /ѕбіп 
для загрузки системы. 


/теаіа — стандартное расположение для автоматически монтируемых устройств, 
в частности съемных носителей. Если у тома носителя есть имя, то оно обычно 
используется в качестве точки монтирования. Например, ОЅВ-накопитель 
с именем тучзЬ будет смонтирован как /тедіа/туиѕЬ. 


/тп — общая точка монтирования для многих устройств до того, как она была 
вытеснена стандартным каталогом /те41а. Некоторые загрузочные системы 
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Глпих еще задействуют этот каталог для монтирования разделов жесткого диска 
и удаленных файловых систем. Многие все еще применяют его для временного 
монтирования локальных или удаленных файловых систем, которые не монти- 
руются постоянно. 


© /тіѕс — каталог, который иногда используется для автоматического монтиро- 
вания файловых систем по запросу. 


® /орї — структура каталогов, доступная для хранения дополнительного при- 
кладного программного обеспечения. 


Ф /ргос — содержит информацию о системных ресурсах. 


Ф /гоо — домашний каталог суперпользователя. Этот домашний каталог не на- 
ходится ниже /һоте из соображений безопасности. 


Ф /561п — содержит административные команды и демонические процессы. 


® /5уѕ — содержит параметры для настройки хранения блоков и управления 
контрольными группами. 


® /Етр — содержит временные файлы приложений. 


® /и5г — содержит пользовательскую документацию, игры, графические файлы 
(х11), библиотеки (116) и множество других команд и файлов, не требующихся 
в процессе загрузки. Каталог /изг предназначен для файлов, которые не изме- 
няются после установки (теоретически /изг может быть смонтирован только 
для чтения). 


® /уаг — содержит каталоги данных приложений. В частности, именно здесь 
размещаются файлы, которые передаются через ЕТР-сервер (/маг/#+р) или 
веб-сервер (/маг/ммм). Он также содержит все файлы системного журнала 
(/маг/1ов) и файлы, находящиеся в очереди на обработку в /маг/ѕроо1 (такие 
как таі1, сирѕ, пемѕ). Каталог /маг содержит каталоги и файлы, которые часто 
изменяются. На серверных компьютерах он обычно создается как отдельная 
файловая система, которую можно легко расширить. 


Файловые системы в операционных системах РОЅ или М1сгозой У/т40\$ 
отличаются от файловой структуры Глпих (см. далее врезку «Файловые системы 
Тіпих и \п4о\з>). 


Файловые системы Шпих и \1п140\$ 


Хотя файловая система Глпих во многом схожа с системами М$-2ОО$ и УЛтао\, 
у нее есть поразительные отличия, например следующие. 


® В файловых системах М5-РО$ и \Лп4о\з буквы дисков представляют различ- 
ные устройства хранения. В пих все устройства хранения данных подключены 
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к иерархии файловой системы. Таким образом, то, что весь файл /иѕг может 
находиться на отдельном жестком диске или что файл /тпё/ гетое1 является 
файловой системой с другого компьютера, пользователю не видно. 


е В Ппих для разделения имен каталогов используется прямая, а не обратная косая 
черта (слеш). Поэтому путь в системе Мисгозой выглядит таким образом: С: \ 
һоте\јое, а в системе [лпих — /һоте/јое. 


е В роО5ѕ имена файлов почти всегда имеют суффиксы (например, .Ех® для тек- 
стовых файлов или .аосх для файлов Мога). Трехсимвольные суффиксы иногда 
можно применять и в іпих, однако они не имеют особого значения. Они полезны 
скорее для идентификации типа файла. Многие приложения и окружения пах 
используют суффиксы файлов для определения содержимого последних. Однако 
в пих расширения команд ОО$, такие как .сот, .ехеи .баї, не всегда означают 
исполняемый файл. (Исполняемость файлов в Глпах определяют флаги прав 
доступа.) 


ә Каждый файл и каталог в системе Глпих имеют владельцев и права доступа, свя- 
занные с ним. Их безопасность варьируется в зависимости от системы МісгоѕоЌ. 
Поскольку РОЅ и Місгоѕоѓё \/ш9о\уз создавались как однопользовательские 
системы, принадлежность файлов в них не была встроена изначально. Чтобы 
решить эту проблему, в более поздние версии были добавлены такие функции, 
как атрибуты файлов и папок. 


Базовые команды файловой системы 


Я хочу познакомить вас с несколькими простыми командами, чтобы вы могли 
начать работать с файловой системой. Можете пробовать их сразу, параллельно 
с чтением. При запуске системы Глпих и открытии оболочки пользователь входит 
в свой домашний каталог. Большинство файлов, которые вы сохраняете и с кото- 
рыми работаете, вероятно, будут находиться в этом каталоге или в подкаталогах, 
созданных вручную. В табл. 4.1 показаны команды для создания и применения 
файлов и каталогов. 


Таблица 4.1. Создание и использование файлов 


Команда Действие 


са Меняет каталог 

рма Выводит имя текущего (или настоящего) рабочего каталога 
шк Создает каталог 

сһтоа Изменяет права доступа к файлу или каталогу 


15 Перечисляет содержимое каталога 
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Одна из самых простых команд — это са. Она может использоваться без каких- 
либо параметров (чтобы перенести пользователя в домашний каталог) или с пол- 
ными или относительными путями. Рассмотрим следующие команды: 


$ са /иѕг/ѕһағге/ 
$ рма 
/иѕг/ѕһаге 

$ са аос 

$ рма 
/иѕг/ѕһаге/аос 
$ са 

$ рма 
/ћоте/сһгіѕ 


Параметр /иѕг/ѕһаге представляет абсолютный путь к каталогу в системе. 
Поскольку он начинается с косой черты (/), этот путь указывает оболочке начать 
с корневого каталога файловой системы и привести к каталогу ѕһаге, находяще- 
муся в каталоге изг. Параметр аос для команды са ищет каталог с именем дос, 
который относится к текущему каталогу. Таким образом, эта команда открывает 
/изг/зНаге/4дос и делает его текущим каталогом. 

После этого, введя только са, вы вернетесь в домашний каталог. Если необхо- 
димо узнать, где вы находитесь в файловой системе, команда риа поможет. Вот еще 
несколько интересных вариантов использования команды са: 


$ са ~ 

$ рма 

/ћоте/сһгіѕ 

Ф са ~/Миѕіс 

$ рма 
/ћоте/сһгіѕ/Миѕіс 
$ са ../../../иѕг 
$ рма 

/ч5г 


Тильда (~) ссылается на ваш домашний каталог. С помощью команды са ~ 
к нему можно перейти. Можно также применять тильду для ссылки на каталоги 
относительно вашего домашнего каталога, например, /һоте/сһгіѕ/Миѕіс с помощью 
~/Миѕіс. Ввод имени в качестве параметра приведет вас в каталог ниже текущего 
каталога, а две точки (..) можно использовать, чтобы перейти в каталог уровнем 
выше текущего. В приведенном примере вы подниметесь на три уровня (до /), 
а затем перейдете в каталог /иѕг. 

Далее рассмотрим, как создавать каталоги в домашнем каталоге, перемещаться 
между ними и устанавливать соответствующие права доступа. 


1. Перейдите в домашний каталог. Для этого введите са в интерпретаторе и на- 
жмите клавишу Епќег. (Другие способы перехода в домашний каталог см. во 
врезке «Обозначения каталогов» далее.) 
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2. Чтобы убедиться, что вы находитесь в домашнем каталоге, введите риа. Далее 
появится такая строка: 


$ рма 
/һоте/јое 


3. Создайте в домашнем каталоге новый каталог с именем Ёёеѕ&: 
$ ткаіг +еѕ 
4. Проверьте права доступа каталога: 


$ 15 -1а +еѕі 
агмхг-хг-х 2 јое ѕа1еѕ 1024 Зап 24 12:17 іеѕі 


Список показывает, что ёеѕ& — это каталог (а). После буквы а указаны права 
доступа (гихг-хг-х), которые мы рассмотрим далее, в разделе «Владельцы и пра- 
ва доступа к файлам». Прочие сведения указывают на владельца (јое), группу 
(ѕа1еѕ) и дату последнего изменения файлов в каталоге (24 января в 12:17). 


ПРИМЕЧАНИЕ 


Новый пользователь системы Еейога или Вед Наї Епќегргіѕе Мпих по умолчанию назначается в группу стем же 
именем. В предыдущем примере пользователь јое назначен в группу јое. Данный подход куправлению группами 
называется личной группой пользователя (иѕег ргімаќе дгоир, ИРС). 


Введите: 

$ сһтоа 700 +еѕ 

Таким образом дается право на предоставление полного доступа вам и никако- 
го — всем остальным. (Новые права доступа читаются как гих- - -- - - .) 


5. Сделайте каталог +еѕ+ своим текущим каталогом следующим образом: 


$ са +еѕі 
$ рма 
/ћоте/јое/+еѕї 


Теперь подкаталог &еѕ& домашнего каталога является вашим текущим рабочим 
каталогом. В каталог +е54 можно добавлять файлы и каталоги, следуя инструкциям, 
приведенным далее в этой главе. 


Метасимволы и операторы 


Независимо от того, перечисляете вы, перемещаете, копируете, удаляете или иным 
образом воздействуете на файлы в системе Глпих, определенные специальные сим- 
волы, называемые метасимволами и операторами, помогают работать с файлами 
более эффективно. Метасимволы помогают обработать один или несколько файлов, 
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не вводя полностью имя каждого. Операторы позволяют направлять информацию 
из одной команды в другую или из одного файла в другой. 


Метасимволы для пакетной обработки файлов 


Чтобы экономить время и быстрее ссылаться на группу файлов, оболочка Баѕћ 
позволяет применять метасимволы. Всякий раз, когда нужно обратиться к файлу 
или каталогу, например, чтобы перечислить, открыть или удалить его, используйте 
соответствующие файлам метасимволы. Примеры полезных метасимволов: 


® * _ соответствует любому количеству символов; 


® > — соответствует любому одному символу; 


® [...] — соответствует любому из символов между скобками, которые могут 
включать диапазон букв или цифр, разделенных дефисом. 


Чтобы обработать файлы с помощью метасимволов, сначала перейдите в пустой 
каталог (например, в каталог *еѕ+, описанный в предыдущем разделе) и создайте 
несколько пустых файлов: 


$ +оисһ арр1е Бапапа вгаре вгаре#гиі+ мафегте1оп 


Команда +оисһ создает пустые файлы. Далее показано, как использовать мета- 
символы с командой 1$ для пакетной обработки файлов. Выполните следующие 
команды и проанализируйте результаты: 


$ 15 а* 

арр1е 

$ 15 р* 

5гаре вгарефги1+ 

$ 1$ 5% 

5гареги1 + 

$ 15 *е* 

арр1е вгаре вгарефги1 мафегте1оп 
$ 15 *п* 

Бапапа маегте1оп 


Первый пример соответствует любому файлу, имя которого начинается 
са (арр1е). Следующий соответствует всем файлам, имена которых начинается с в 
(ргаре, вгаре#гиі+). Далее обрабатываются файлы, имена которых начинаются 
с буквы р и заканчиваются на букву + (вгаре#гиіж). Затем обрабатываются файлы, 
содержащие в именах букву е (арр1е, вгаре, вгареги1*, маёегте1оп). Наконец, об- 
рабатываются все файлы, имена которых в любом месте содержат букву п (Бапапа, 
масегте10оп). 

Примеры выборки файлов с вопросительным знаком (?): 
$ 15 ????е 
арр1е 5гаре 
$ 15 р???е* 
5гаре 5гарефги1+ 
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Первый пример соответствует любому файлу из пяти символов, имена которых 
заканчиваются на букву е (арр1е, вгаре). Второй соответствует любому файлу, имя 
которого начинается с буквы в и в пятой позиции есть буква е (вгаре, вгареги1+). 

Примеры выборки с квадратными скобками: 
$ 15 [абм]* 
арр1е Бапапа мафегте1оп 
$ 15 [авм]*[пе] 
арр1е 5гаре мафегте1оп 

В первом примере ищется любой файл, имя которого начинается с буквы а, 6 
или и. Во втором берется любой файл, имя которого начинается с буквы а, 5 или м 
и заканчивается либо на п, либо на е. В скобки можно включать и диапазоны букв, 
например: 


$ 15 [а-5]* 
арр1е Бапапа ргаре вгарефги1+ 


В таком случае сопоставляются любые файлы, имена которых начинаются 
с букв от а дов. 


Метасимволы перенаправления файлов 


Команды получают данные после стандартного ввода и передают их на стандарт- 
ный вывод. С помощью конвейеров (описаны ранее) можно направлять стандарт- 
ный вывод одной команды на стандартный ввод другой. Для направления данных 
в файлы и из файлов используются знаки «меньше» (<) и «больше» (>). Символы 
перенаправления файлов: 


® ‹ — направляет содержимое файла в команду. В большинстве случаев по умол- 
чанию команда ожидает этого действия, и здесь символ необязателен, то есть 
1е$5$ бів+Ғі1е — то же самое, что 1еѕ5 < 6184 11е; 

® > — направляет стандартный вывод команды в файл. Если файл существует, то 
его содержимое перезаписывается; 


® 2> — направляет стандартную ошибку (сообщение об ошибках) в файл; 


&> — направляет в файл как стандартный вывод, так и стандартную ошибку; 


® >> — направляет в файл вывод команды, добавляя его в конец существующего 
файла. 


Далее приведены примеры, в которых информация направляется в файлы и из 
файлов: 


$ маі1 гоо < ~/.Баѕһгс 
$ тап сһтоа | со1 -Ь > /+тр/сһтоа 
$ есһо "І Ғіпіѕһеа +һе ргојес+ оп $(да+е)" >> ~/ргојесіѕ 


В первом примере содержимое файла .баѕһгс, находящегося в домашнем 
каталоге, отправляется в виде сообщения на почту суперпользователю. Вторая 
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командная строка форматирует справочную страницу сһтоа (с помощью коман- 
ды тап), удаляет лишние пробелы (со1 -Ь) и отправляет выходные данные в файл 
/тр/сһтоа (стирая предыдущий файл /+тр/ сһтоаӣ, если он существует). После 
выполнения последней команды в файл проекта пользователя добавляется следу- 
ющий текст: 


І Ғіпіѕһеа +һе ргодес оп Ѕа+ Јип 15 13:46:49 ЕРТ 2019 


Другой тип перенаправления, называемый встроенным документом (Рете- 
документом), позволяет вводить текст, который используется в качестве стан- 
дартного ввода для команды. Встроенные документы включают в себя ввод двух 
символов «меньше» (<<) после команды, за которой следует слово. Весь текст, 
набранный после этого слова, принимается в качестве пользовательского ввода до 
тех пор, пока слово не повторится в строке само по себе, например: 


$ таі1 гоої спериѕ гјопеѕ Бӣескег << +һе+ехё 

> І мап фо +е11 еуегуопе һа +һеге м111 Бе а 10 а. п. 

> мее{1п= іп сопҒегепсе гоот В. Емегуопе °Пои14 аї+епа. 
> 

> -- Јатеѕ 

> +һеёех+ 

$ 


В этом примере сообщения отправляются на имена пользователей гоо, спевиѕ, 
гјопеѕ и баескег. Текст, введенный между <<+һеёех и {Пефех, становится содержа- 
нием сообщения. Обычно встроенный документ используется в текстовом редак- 
торе для создания или добавления информации в файл из скрипта: 


/ріп/еа /ефс/гезо1му.соп+ <<геѕепаії 
а 
патеѕегуег 100.100 .100.100 


м 
а 
гезепа1 


С помощью этих строк в скрипте, выполняемом суперпользователем, текстовый 
редактор еа добавляет ІР-адрес ОМ№5$-сервера в файл /еёс/геѕо1у.сопғ. 


Применение фигурных скобок 


С помощью фигурных скобок ({}) можно использовать группу символов для имен 
файлов, каталогов и других аргументов, которые даются командам. Например, 
группа файлов с именами от тето1 до тетоѕ создается так: 

$ +оисһ тето{1,2,3,4,5} 


Ф 15 
тето1 тето2 тетоз тето4 тето5 
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Значения в скобках не обязательно должны быть числами или даже однознач- 
ными цифрами. Например, можно применять диапазоны чисел или цифр, а также 
любую строку символов, разделив их запятыми, например: 


$ +оисһ {Јоһп,Ві11,5а11у}-{Вгеакғаѕ+ , Гипсй ,О01ппег} 

$ 15 

Ві11-ВгеакғҒаѕ+ В111-ЁипсИй Јоһп-Рріппег $а11у-ВгеаКфа${ Ѕа11у-іипсһ 
Ві11-ріппег Јоһп-ВгеакғҒаѕ+ Јоһп-Гипсһ Ѕа11у-ріппег 

$ гт -+ {Јоһп,Ві11,5а11у}-{Вгеакғаѕ+ ,ипсһ,Рріппег} 

$ +оисһ а. .#}{1..5} 

$ 15 

а1 аз а5 62 64 с1 сЗ с5 42 44 е1 ез е5 +2 +4 

а2 а4 01 ЫЗ Ь5 с2 с4 41 а3 45 е2 е4 +1 +3 +5 


В первом примере два набора фигурных скобок означают, что у пользователей 
Зойп, Ві11 и $а11у есть свои файлы, связанные с файлами Вгеак+аѕ, Гипсй и О1ппег. 
Если бы я ошибся, то легко вспомнил бы команду и изменил Фоисп на гт -# — и уда- 
лил все файлы. В следующем примере две точки между буквами и цифрами ука- 
зывают на диапазоны, которые будут применяться. Обратите внимание на файлы, 
которые были созданы из этих нескольких символов. 


Перечисление файлов и каталогов 


Команда 15 наиболее широко распространена и используется для перечисления 
информации о файлах и каталогах. Множество параметров, применяемых с ко- 
мандой 15, позволяет выводить различные списки файлов и каталогов, а также 
просматривать информацию о них. 

По умолчанию при вводе команды 15 выводятся все нескрытые файлы и катало- 
ги, содержащиеся в текущем каталоге. Однако при вводе 1$ многие системы іпих 
(включая Еейога и КНЕГ.) назначают псевдоним 1$ для добавления параметров. 
Чтобы проверить, является ли 1$ псевдонимом, введите следующее: 


$ а1іаѕ 15 
а1іаѕ 15='15 --со1ог=ачц®о"' 


Параметр - -со1ог=аи+о позволяет отображать различные типы файлов и ката- 
логов разными цветами. Итак, вернитесь в каталог $НОМЕ/*е$*, созданный ранее, 
добавьте несколько различных типов файлов, а затем посмотрите, как они выво- 
дятся с помощью команды 15: 


са $НОМЕ/+е$+ 

Фоисй ѕсгірёх.ѕһ арр1е 

сһтоӣ 755 ѕсгірёх.ѕһ 

ткаіг ЅЕиҒ#Ғ 

1п -5 арр1е роіп+ег о арр1е 

15 

арр1е роіпёег Жо арр1Іе ѕсгіріх.ѕһ ЅЕиҒҒ 


еа ъа 6% а < Ш 
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На примере в книге не видно, что каталог 5+и## отображается синим цветом, 
роіпёег_+о_арр1е (символическая ссылка) — голубым и ѕсгіріх.ѕһ (исполняемый 
файл) — зеленым. Все остальные обычные файлы отображаются черным цветом. 
Введите команду 1$ -1, чтобы отобразить длинный список этих файлов и разделить 
их на типы еще более понятным образом: 
$ 15 -1 
фофа1 4 
-ги-гм-г--. 1 јое јое 09 рес 18 13:38 арр1е 
1гихгихгих. 1 јое јое 5 рес 18 13:46 роіпёег +о арр1е -> арр1е 


-гихг-хг-х. 1 јое јое ё рес 18 13:37 ѕсгіріх.ѕһ 
Чгихгихг-х. 2 јое јое 4096 Бес 18 13:38 ЅЪиҒҒ 


При просмотре длинного списка обратите внимание на то, что первый символ 
каждой строки указывает на тип файла. Дефис (-) обозначает обычный файл, а — 
каталог, а 1 (строчная Г.) — символическую ссылку. Исполняемый файл (скрипт 
или двоичный файл, который выполняется как команда) имеет включенные флаги 
исполнения (х). Подробнее о флагах исполнения читайте в разделе «Владельцы 
и права доступа к файлам». 

Далее необходимо ознакомиться с содержимым своего домашнего каталога. 
Используйте параметры -1 и -а с командой 15: 


$ 15 -1а /һоте/јое 


©оба1 158 

Чгихгихгих 2 јое ѕа1еѕ 4096 Мау 12 13:55 

агмхг-хг-х 3 гоої гооЇ 4096 Мау 10 01:49 .. 

-ги------- 1 јое ѕа1еѕ 2204 Мау 18 21:30 „Базп_И1$огу 
-ги-г--г-- 1 јое ѕа1еѕ 24 Мау 10 01:50 .Баѕһ 1орои 
-ги-г--г-- 1 јое ѕа1еѕ 230 Мау 10 01:50 .Баѕһ рго+і1е 
-ги-г--г-- 1 јое ѕа1еѕ 124 Мау 10 01:50 .Баѕһгс 
аги-г--г-- 1 јое ѕа1еѕ 4096 Мау 10 01:50 .Кае 
-ги-гм-г-- 1 јое ѕа1еѕ 149872 Мау 11 22:49 1Іеїїег 

^ ^ ^ № ^ ^ Р 

сої 1 со] 2 со1 3 со1 4 со1 5 сої 6 со1 7 


Отображение длинного списка (параметр -1) с содержимым домашнего каталога 
дает больше информации о размерах файлов и каталогов. В строке ёо+а1 показан 
общий объем диска, занимаемый файлами, входящими в список (в данном примере 
158 Кбайт). При добавлении параметра (-а) отображаются файлы, имена которых 
начинаются с точки (.). Каталоги, например текущий (.) и родительский (..) — 
каталог выше текущего, отмечаются буквой а в начале каждой записи. Все каталоги 
начинаются с буквы 4, а каждый файл — с дефиса (-). 

Имена файлов и каталогов приведены в столбце 7. В данном примере точка (.) 
указывает на каталог /һоте/јое, а две точки (..) — на /поме — родительский ката- 
лог /јое. Большинство файлов в этом примере — это скрытые файлы (.), которые 
используются для хранения свойств графического интерфейса (каталог .Кае) или 
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свойств оболочки (файлы .Баѕћ). Единственный файл без точек в этом списке — 
это файл со словом 1еї+ег. Столбец З отображает каталог или владельца файла. 
Каталог /һоте принадлежит суперпользователю, а все остальное — пользователю 
Зое, который относится к группе ѕа1еѕ (группы перечислены в столбце 4). 


В дополнение к 4 или - столбец 1 содержит права доступа, установленные для 


этого файла или каталога. Другая информация в списке — это несколько жестких 
ссылок на элемент (столбец 2), размер каждого файла в байтах (столбец 5), а также 
дата и время последнего изменения каждого файла (столбец 6). 


Вотеще несколько фактов о списках файлов и каталогов. 


Количество символов, показанных в строке каталога (в примере 4096 байт), 
отражает размер файла, содержащего информацию о каталоге. Хотя это число 
может быть больше 4096 байт для каталога с большим количеством файлов, это 
число не отражает размер файлов, содержащихся в каталоге. 


Формат столбца даты и времени может меняться. Вместо Мау 12 дата может 
отображаться как 2019-05-12 в зависимости от дистрибутива и языковой на- 
стройки (переменная ГАМ). 


Иногда вместо флага исполнения (х), установленного в исполняемом файле, 
может быть указана буква ѕ. Если атрибут ѕ добавлен к правам владельца 
(-гизг-хг-х), группы (-гиѕг-хе-х) или их обоих (-гизг-хг-х), приложение 
может быть запущено любым пользователем, но право собственности на 
идущий процесс остается у пользователя/группы, а не у того, кто запустил 
команду. Это называется флагами ѕеѓ (ТО или ѕеѓ СІР (установка 10 пользо- 
вателя во время выполнения). Например, команда тоџпё имеет установленные 
права доступа -гизг-хг-х. Это позволяет любому пользователю запускать 
тоип* для отображения списка смонтированных файловых систем (хотя 
в большинстве случаев необходимо быть суперпользователем, чтобы приме- 
нять тоип* для фактического монтирования файловых систем из командной 
строки). 

Если в конце каталога указан символ *, это говорит о том, что для этого каталога 
установлен атрибут $Яску ВИ (например, агихгихг-+). Установив атрибут зЯску 
Б на каталоге, владелец этого каталога может разрешить другим пользователям 
и группам добавлять файлы в каталог, но запретить удалять в нем файлы друг 
друга. С помощью флага ѕеё СТО, назначенного каталогу, все созданные в нем 
файлы назначаются группе каталога. (Если в каталоге вместо флага исполне- 
ния установлена прописная буква 5 или Т, это означает, что были установлены 
флаг ѕеё СІР или атрибут засКу М, но по какой-то причине флаг исполнения 
не был подключен.) 


Если в конце строки прав доступа указан знак плюс (например, -ги-ги-г--+), 
это значит, что к файлу применены расширенные атрибуты (+), такие как спи- 
ски управления доступом (АСТ.). Точка в конце (.) указывает на примененный 
к файлу атрибут ЗЕпих. 


4 
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Обозначения каталогов 


Если нужно обозначить домашний каталог в командной строке интерпретатора, 
введите: 


ө НОМЕ — эта переменная окружения отображает имя домашнего каталога; 


®  — тильда (~) указывает на домашний каталог в командной строке. Ее можно 
использовать также для того, чтобы идентифицировать чужой домашний каталог. 
Например, ~јое указывает на домашний каталог пользователя јое (вероятно, 
/ћоте/јое). Если бы я хотел перейти в каталог /һоте/јое/+еѕё, то ввел бы са 
<) ое/*+ез+. 


Другие специальные способы обозначения каталогов: 


. — точка (.) отображает текущий каталог; 


.. — две точки (..) относятся к каталогу, расположенному непосредственно над 
текущим каталогом; 


е $РАр — эта переменная окружения ссылается на текущий рабочий каталог; 


ө — $О1ОРИО — эта переменная окружения ссылается на предыдущий рабочий каталог 
до смены его на текущий. (Ввод команды са возвращает пользователя в каталог, 
представленный в виде $01рРир.) 


Как уже упоминалось, существует много полезных параметров для команды 1$. 
Вернемся к каталогу $НОМЕ/е5+. Далее показано несколько примеров параметров 
для 15. Не волнуйтесь, если в вашем случае результаты не совсем соответствуют 
тому, что находится в вашем каталоге. 

Любой файл или каталог, начинающийся с точки (.), считается скрытым и не 
отображается с помощью команды 15. Эти 40{-файлы обычно являются файлами 
конфигурации или каталогами, которые находятся в домашнем каталоге, но долж- 
ны быть скрыты. Параметр -а позволяет увидеть их. 

Параметр -* отображает файлы в том порядке, в котором они были изменены 
в последний раз. При использовании параметра -Е в конце имен каталогов указы- 
вается обратная косая черта (/), звездочка (*) добавляется к исполняемым файлам, 
а знак @ отображается рядом с символическими ссылками. 

Вот пример того, как показать скрытые и нескрытые файлы: 
$ 15 -а 

арр1е ӣосѕ 5гаре+ги1* роіпёег Фо арр1е .5%и+Р маеғгте1оп 
Бапапа эгаре .һіддепаіг ѕсгірё.ѕһ .Етр+і1е 


Пример того, как перечислить все файлы по дате последнего изменения: 


$ 15 -аї 
.Хтрғі1е .һіааепаіг .. ӣосѕ маегте1оп Бапапа $сг1р+.$И 
.ЅШҒҒ роіп+ег о арр1Іе ргаре#гиіё арр1е вгаре 
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Пример того, как перечислить файлы и добавить индикаторы типа файлов: 


$ 15 -Е 
арр1е Бапапа Яйосѕ/ вгаре вгарефги1 роіпёег +о арр1е@ ѕсгір+.ѕһ* 
мафегте1оп 


Чтобы не показывать определенные файлы и каталоги при запуске команды 15, 
используйте параметр -һіде=. В приведенных далее примерах любой файл, имя 
которого начинается с буквы в, не отображается в выводе. Параметр -4 показывает 
информацию о каталоге вместо того, чтобы выводить содержащиеся в нем файлы 
и каталоги. Параметр -В перечисляет все файлы в текущем каталоге, а также любые 
файлы или каталоги, связанные с исходным каталогом. Параметр -$ перечисляет 
файлы по размеру. 

Пример того, как исключить из списка файлы, имена которых начинаются 
с буквы в: 
$ 15 --И14е=р* 
арр1е Бапапа 4ос5 ро1пфег_фо_арр1е зсг1рф.5И маёегте1оп 


Пример того, как вывести информацию о каталоге вместо содержащихся в нем 
файлов: 


$ 15 -1а $НОМЕ/+еѕ+/ 
агихгихг-х. 4 јое јое 4096 рес 18 22:00 /һоте/јое/+еѕ+/ 


Пример создания нескольких уровней вложенности каталогов (нужен пара- 
метр -р): 
$ шка1г -р ФНОМЕ/®еѕ%/аоситепёѕ /тетоѕ/ 

Пример того, как рекурсивно перечислить все файлы и каталоги из текущего 
каталога сверху вниз: 


$ 15 -В 


Пример того, как перечислить файлы по размеру. 


$ 15 -5 


Владельцы и права доступа к файлам 


Во время работы с Глпих вы, скорее всего, успели получить сообщение об ошибке 
Регтіѕѕіоп депіеа (Отказано в доступе). Права доступа, связанные с файлами и ка- 
талогами, были разработаны для защиты важных системных файлов, а также для 
того, чтобы пользователи не могли получить доступ к личным файлам других 
пользователей. 
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Девять флагов, назначенных каждому файлу, определяют доступ к нему. Биты 
прав доступа выглядят как -гихгихгих. Они используются для определения того, 
кто может читать, записывать или исполнять файл. 


ПРИМЕЧАНИЕ 


У обычного файла перед девятибитным индикатором прав доступа указывается дефис. Вместо него можно встре- 
тить также символ а (для каталога), | (для символьной ссылки), Б (для блочного устройства), с (для символьного 
устройства), $ (для сокета) или р (для именованного конвейера). 


Существует девять бит (флагов) прав доступа: первые три определяют права для 
владельца, следующие три — права для основной группы пользователя, а последние 
три — для всех остальных пользователей в системе. Для файлов г обозначает право 
на чтение файла, м разрешает запись в файл, х позволяет исполнить файл. Если 
вместо буквы указан дефис, это означает, что для соответствующего бита чтения, 
записи или исполнения право доступа отключено. 

Поскольку файлы и каталоги представляют собой различные типы элементов, 
чтение, запись и выполнение отдельных операций над файлами и каталогами дают 
разные результаты. В табл. 4.2 объясняется, что означают типы прав доступа. 


Таблица 4.2. Установка прав на чтение, запись и исполнение 


Право Файл Каталог 

Чтение Просмотр того, что Просмотр того, какие файлы и подкаталоги 
находится в файле содержит каталог 

Запись Изменение содержимого Добавление файлов и подкаталогов в каталог. 


файла, его переименование | Удаление файлов и подкаталогов из каталога 
или удаление 


Исполнить | Запуск файла как Переход в текущий каталог, поиск по каталогу 
программы или исполнение программы из этого каталога. 
Доступ к метаданным (размер файла, дата 
создания ит. д.) файлов в этом каталоге 


Как отмечалось ранее, чтобы увидеть права доступа к любому файлу или ката- 
логу, введите команду 1$ -14. Именованные файлы и каталоги отображаются так 
же, как показано в этом примере: 


$ 15 -1а сһЗ +еѕї 
-ги-ги-г-- 1 јое ѕа1еѕ 4983 Зап 18 22:13 сһз 
Чгихг-хг-х 2 јое ѕа1еѕ 1024 Зап 24 13:47 +еѕі 


Первая строка показывает, что файлу сһз присвоены права на чтение и запись 
для владельца и группы. Все остальные пользователи имеют право на чтение, 
то есть им разрешается просматривать файл, но они не могут изменить его содержи- 
мое или удалить его. Во второй строке показан каталог +еѕі (обозначается буквой а 
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перед битами прав доступа). Владелец имеет право на чтение, запись и выполнение, 
в то время как группа и другие пользователи — только на чтение и выполнение. 
То есть владелец может добавлять, изменять или удалять файлы в этом каталоге, 
а все остальные — только читать содержимое, переходить в этот каталог и пере- 
числять его содержимое. (Если бы не было параметров -а для 1$, были бы указаны 
файлы в тестовом каталоге вместо прав доступа к этому каталогу.) 


Изменение прав доступа командой сһтоа 
с помощью чисел 


Чтобы изменить права доступа к файлу, можно воспользоваться командой сһтоа. 
В таком случае каждому праву доступа (чтение, запись и выполнение) присваива- 
ется номер — г=4, м=2 и х=1 соответственно, то есть для задания прав доступа ис- 
пользуются наборы чисел. Например, чтобы установить полные права доступа для 
себя как владельца, необходимо определить первое число — 7 (4 + 2 + 1), а затем 
дать группе и другим пользователям право только на чтение, указав второе и третье 
числа — 4 (4+0+0), чтобы в итоге получилось число 744. Любая комбинация прав 
доступа включает числа от 0 (нет прав доступа) до 7 (полные права доступа). 

Вот примеры того, как изменить права доступа к файлу (с именем +11е) и как 
это будет выглядеть. 

Установим с помощью команды сһтоа права доступа гихгихгих: 


# сһтоа 777 +11е 


Установим с помощью команды сһтоа права доступа гихг-хг-х: 


# сһтоа 755 +11е 


Установим с помощью команды сһтоа права доступа ги-г--г--: 


# сһтоа 644 +11е 


Установим с помощью команды сһтоа права доступа --------- Н 


# сһтоа 000 +11е 


Команда сһтоа может использоваться и рекурсивно. Например, предположим, 
что вы хотите предоставить права доступа 755 (гихг-хг-х) на всю структуру 
каталогов, начиная с каталога $НОМЕ /туарр. Для этого задействуйте параметр -В 
следующим образом: 


$ сһтоа -В 755 $НОМЕ/туарр$ 


Все файлы и каталоги, расположенные ниже, включая каталог туарр в домаш- 
нем каталоге, будут иметь установленные права доступа 755. Поскольку числовой 
подход к настройке прав доступа изменяет все биты прав доступа одновременно, 
чаще всего для повторного изменения битов в большом наборе файлов использу- 
ются буквы. 
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Изменение прав доступа командой сһтоа 
с помощью букв 


Можно определять права доступа к файлам, применяя знаки плюс (+) и минус (-), 
а также буквы, указывающие на изменения. С помощью букв для каждого файла 
можно изменить права доступа для пользователя (и), группы (=), других (о) 
и всех пользователей (а). Биты прав доступа включают в себя право на чтение (г), 
запись (м) и выполнение (х). Начните с файла, у которого все права доступа от- 
крыты (гихгихгих). Выполните следующие команды сһтоа, используя параметры 
со знаком минус. Полученные права доступа отображаются справа от каждой 
команды. 
Установим с помощью команды сһтоа права доступа г-хг-хг-х: 


$ сһтоа а-м +11е 

Установим с помощью команды сһтоа права доступа гихгихгих -: 
$ сһтоа о-х +11е 

Установим с помощью команды сһтоа права доступа гих- ----- Н 


$ сһтоа во-гих #і1е 


Таким же образом выполнены примеры с недоступными правами доступа 
(--------- ). Знак плюс используется с командой сИтоа, чтобы установить права 
доступа. 

Установим с помощью команды сһтоа права доступа ги------- : 


$ сһтоа и+гы Е11е$ 

Установим с помощью команды сһтоа права доступа --х----х: 
$ сптоЯ а+х +11е$ 

Установим с помощью команды сһтоа права доступа г-хг-х---: 
$ сһтоа ир+гх +11е$ 


Буквы для рекурсивного изменения прав доступа с помощью команды сһтой 
обычно удобнее, чем числа, так как буквенные биты прав доступа можно менять 
выборочно. Например, вам необходимо отменить право на запись для «прочих 
пользователей» без изменения каких-либо других битов прав доступа для набора 
файлов и каталогов. Чтобы это сделать, можно ввести: 


$ сһтоа -В о-м $НОМЕ/туаррѕ 


В этом примере рекурсивно удаляются права на запись для «прочих пользо- 
вателей» в любые файлы и каталоги ниже каталога туаррѕ. С числом 644 право 
на выполнение было бы отключено для каталогов, а с числом 755 — включено для 
обычных файлов. При использовании о-м отключается только один бит, остальные 
биты остаются неизменными. 
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Настройка прав доступа к файлу по умолчанию 
с помощью итаѕк 


Когда вы создаете файл как обычный пользователь, ему по умолчанию назначаются 
права доступа ги-ги-г--. Каталогу назначаются права доступа гихгихг-х. 

Для суперпользователя права доступа к файлам и каталогам выглядят так: 
ги-г--г-- и гихг-хг-х соответственно. Такие значения по умолчанию определяют- 
ся значением команды итак. Введите команду итаѕк, чтобы увидеть ее значение, 
например: 
$ ита$К 
0002 


Если игнорируется начальный ноль, значение итаѕк маскирует то, что считается 
полностью открытыми правами доступа для файла, 666, или каталога, 777. Значение 
итаѕк 002 приводит к установке прав доступа для каталога 775 (гихгихг-х). Та же 
самая команда итаѕк приводит к установке прав доступа для файла 644 (ги-ги-г--). 
(Права на выполнение по умолчанию отключены для обычных файлов.) 

Чтобы временно изменить значение ита$К, выполните команду итаѕк. Затем 
попробуйте создать несколько файлов и каталогов, чтобы увидеть, как значение 
итаѕк влияет на установку прав доступа, например: 


$ итаѕк 777 ; +оисһ +11е01 ; ткаіг 91г01 ; 15 -14 +11е01 аігё1 
а--------- . 2 јое јое 6 рес 19 11:03 а1ге1 

---------- . 1 јое јое @ рес 19 11:02 Ғі1е01 

$ итазк 000 ; +оисһ +11е02 ; ткаіг аіге2 ; 15 -14 +11е02 аіге2 
агихгмхгмх. 2 јое јое 6 рес 19 11:00 Яігё2/ 

-ги-ги-ги-. 1 јое јое 9 рес 19 10:59 Ғі1е02 

$ итаѕк 022 ; +оисһ +11е03 ; ткаіг аігез ; 15 -14 +11е03 аігез 
агмхг-хг-х. 2 јое јое 6 рес 19 11:07 Яігёз 

-ги-г--г--. 1 јое јое Ө Бес 19 11:07 Ғі1еөз 


Если нужно навсегда изменить значение ита$К, добавьте команду итаѕк в файл 
„БазНгс в домашнем каталоге (ближе к концу этого файла). В следующий раз, 
когда вы запустите оболочку, итаѕк будет установлена на любое выбранное вами 
значение. 


Смена владельца файла 


Как обычный пользователь, вы не можете изменять владельца файлов или катало- 
гов. Однако, будучи суперпользователем, можете это сделать. Предположим, что 
вы создали файл тето.+х в домашнем каталоге пользователя јое как суперпользо- 
ватель. Вот как можно сделать јое владельцем этого файла: 

# спомп јое /һоте/јое/тето. х+ 


# 15 -1 /поте/уое/тето. хе 
-ги-г--г--. 1 јое гоо е рес 19 11:23 /Поте/Зое/тето .+х& 


4 
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Обратите внимание на то, что команда сһомп изменила пользователя на јое, но 
оставила группу суперпользователя. Чтобы изменить и пользователя, и группу 
на јое, нужно ввести следующее: 


# сһомп јое:јое /һоте/јое/тето.Ехі 
# 15 -1 /һоте/јое/тето. хе 
-ги-г--г--. 1 јое јое @ Бес 19 11:23 /һоте/јое/тето. хе 


Команду сһомп также можно использовать рекурсивно. Рекурсивный параметр 
(-В) применяется, если нужно изменить всю структуру каталогов, сделав их соб- 
ственностью конкретного пользователя. Например, чтобы передать полное владе- 
ние содержимым О5В-накопителя, который смонтирован в каталоге /тедіа/туиѕ6, 
пользователю јое, введите следующее: 


# сһомп -К јое:јое /тед1а/туи$Ь 


Перемещение, копирование 
и удаление файлов 


Команды для перемещения, копирования и удаления файлов довольно просты. 
Чтобы переместить файл, используйте команду ту. Чтобы скопировать файл, 
примените команду ср. Чтобы удалить файл, выполните команду гм. Эти коман- 
ды можно использовать с отдельными файлами и каталогами или рекурсивно со 
множеством файлов сразу, например: 


$ ту абс ае+ 
$ ту абс ~ 
$ ту /һоте/јое/тутетоѕ/ /һоте/јое/роситепёѕ/ 


Первая команда ту перемещает файл абс в файл деф в том же каталоге (по суще- 
ству, переименовывая его), тогда как вторая команда перемещает файл абс в до- 
машний каталог (~). Следующая команда ту перемещает каталог тутето (и все его 
содержимое) в каталог /һоте/ јое/роситепѕ. 

По умолчанию команда ту перезаписывает все имеющиеся файлы, если файл 
назначения существует. Однако многие системы Гшах используют псевдоним 
команды ту с параметром -1, который заставляет ту запрашивать согласие поль- 
зователя перед перезаписью существующих файлов. Вот так можно проверить, 
делает ли это ваша система: 


$ а11а$ ту 
а1іаѕ ту='т\у -1' 

Примеры применения команды ср, которая копирует файлы из одного места 
в другое: 


$ ср абс ае? 
$ ср абс ~ 
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$ ср -г /изг/5Ваге/аос/Ба$Н-сотр1е{1оп* /+тр/а/ 
$ ср -га /иѕг/ѕһаге/дос/Баѕһ-сотр1еіоп* /Етр/Ы/ 


Первая команда (ср) копирует файл абс в новую папку с именем де+ в том же 
каталоге, а вторая копирует файл абс в домашний каталог (~), сохраняя изна- 
чальное имя. Две рекурсивные копии (-г) копируют каталог Базй-сотр1е{1оп 
и все файлы, которые он содержит, в новые каталоги /ётр/а/ и /ётр/Ы/. Если 
запустить 1$ -1 в этих двух каталогах, то для команды ср, выполняемой с па- 
раметром -а, метки даты/времени и права доступа наследуются. Без параметра 
-а используются текущие метки даты и времени, а права доступа определяются 
командой итаѕкК. 

Команда ср, как правило, также является псевдонимом с параметром у и предот- 
вращает случайную перезапись файлов. 

Как и у команд ср и пм, у гт обычно есть псевдоним для параметра -1. Это по- 
могает предотвратить проблему непреднамеренного рекурсивного удаления (-г). 
Примеры использования команды гт: 


$ гт абс 
$ гт * 


Первая команда удаляет файл абс, вторая удаляет все файлы в текущем каталоге 
(но не трогает каталоги и/или любые файлы, имена которых начинаются с точки). 
Если нужно удалить каталог, задействуйте рекурсивный параметр -г для гт, а для 
пустого каталога можно взять команду гта1г, например: 
$ гтаіг /һоте/јое/поһіпр/ 
$ гт -г /һоте/јое/Біваіг/ 
$ гм -гЕ /һоте/јое/һиведіг/ 


Команда гтаіг в этом примере удаляет каталог (поёћіпв), только если он пуст. 
Команда гт -г удаляет каталог ріраіг и все его содержимое (файлы и несколько 
уровней подкаталогов), каждый раз запрашивая разрешение пользователя. При ис- 
пользовании параметра -+ каталог һивеаіг и все его содержимое немедленно уда- 
ляются без запроса. 


ВНИМАНИЕ! 


Когда параметр -і применяется с командами ту, ср и гт, возникает риск удаления некоторых (или даже многих) 
файлов по ошибке. С подстановочными знаками (например, *) и без -і ошибки еще более вероятны. Тем не менее 
это не всегда актуально при удалении файлов. Вот что можно сделать. 


= Какуже отмечалось, с параметром -Ё можно принудить команду гт удалять файлы без запроса. Можно также 
запустить команду гт, ср или ту собратной косой чертой перед ней (\ит Бідайг). Обратная косая черта приво- 
дит к тому, что любая команда выполняется без псевдонимов. 

= Другой вариант — использовать параметр -В с командой ту. В таком случае, если файл с таким же 


именем существует в месте назначения, создается резервная копия старого файла перед перемещением 
нового. 
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Резюме 


Команды перемещения по файловой системе, копирования, перемещения и уда- 
ления файлов являются одними из основных команд, применяемых в оболочке. 
В этой главе мы рассмотрели множество команд перемещения и манипулирования 
файлами, а также команд, которые позволяют изменять владельца и устанавливать 
права доступа. 

В следующей главе описываются команды редактирования и поиска файлов, 
а именно текстовые редакторы уіт/уї, команды #Ғіпа и ргер. 


Упражнения 


Выполните упражнения, чтобы проверить знание эффективных способов работы 
в файловой системе Ііпих и действий с файлами и каталогами. Старайтесь как 
можно меньше использовать сочетания клавиш для ввода, чтобы добиться жела- 
емых результатов. Задачи подходят для систем Еедога и Кеа Наб Епсегргіѕе Глпих 
(некоторые сработают и в других системах Глпих). 

Если затрудняетесь с решением заданий, воспользуйтесь ответами к упражне- 
ниям, приведенным в приложении Б (хотя пах позволяет решать задачи разными 
способами). 


1. В своем домашнем каталоге создайте папку рпојесіѕ. В ней создайте девять 
пустых файлов с именами һоиѕе1, һоиѕе2, һоиѕез и т. д вплоть до һоиѕе9. Пред- 
положим, в этом каталоге есть много других файлов. Придумайте один аргумент 
для 15, который будет перечислять только эти девять файлов. 


2. Создайте путь к каталогу $НОМЕ/ргојесіѕ /һоиѕеѕ/йоогмѕ/. Создайте пустые 
файлы на пути к каталогу (используйте абсолютный и относительный пути из 
домашнего каталога): 


$НОМЕ /ргојес5 /һоиѕеѕ /бипва1ом. хе 
$НОМЕ/ргојес5 /һоиѕеѕ/ӣоогѕ/біҒо1а. хі 
$НОМЕ /ргојесѕ /оиаоогѕ/мереаіоп/1апӣѕсаре. хі 


3. Скопируйте файлы һоиѕе1 и һоиѕе5 в каталог $НОМЕ/ргојесіѕ /һоиѕеѕ/. 


4. Рекурсивно скопируйте каталог /иѕг/ѕһаге/аос/іпіёѕсгіріѕ* в домашний 
каталог $НОМЕ/рго]ес*$/. Сохраните текущие метки даты/времени и права 
доступа. 


5. Рекурсивно перечислите содержимое каталога НОМЕ /ргојесѕ/. Передайте вы- 
ходные данные в команду 1еѕ5, чтобы просмотреть их на странице. 


Удалите файлы һоиѕеб, Ноизе7 и һоиѕе8 без запроса от команды. 


7. Переместите һоиѕез и һоиѕе4 в каталог $НОМЕ/ргојесѕ /һоиѕеѕ/ӣоогѕ. 


8. 
9. 


10. 
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Удалите каталог $НОМЕ /ргојесёѕ /һоиѕеѕ/ йоогѕ и его содержимое. 


Измените права доступа к файлу $НОМЕ /ргоуес+5/Ноизе2 таким образом, чтобы 
владелец файла мог его прочитать и записать, а группа и прочие пользователи — 
только прочитать. 

Рекурсивно измените права доступа к каталогу $НОМЕ /ргојесе5/ так, чтобы ни- 
кто не имел прав на запись в любые файлы или каталоги, расположенные ниже 
этого уровня в файловой системе. 


Работа с текстовыми 
файлами 


В этой главе 


и Использование программ уіти м1 
для редактирования текстовых файлов. 


ш Поиск файлов. 
ш Поиск в файлах. 


Когда была создана система ОМПХ, большая часть обмена данными в системе 
осуществлялась в виде простых текстовых файлов. Было крайне важно, чтобы 
пользователи знали, как использовать инструменты для поиска обычных текстовых 
файлов, а также могли изменять и настраивать их. 

Сегодня настройки систем [іпих все еще можно выполнять путем редактиро- 
вания простых текстовых файлов. Независимо от того, изменяете ли вы файлы 
в каталоге /еёс для настройки локальной службы или редактируете файлы инвен- 
таризации АпѕіЫе, чтобы настроить хост-компьютеры, обычные текстовые файлы 
по-прежнему широко используются для подобных задач. 

Прежде чем стать полноценным системным администратором, необходимо 
научиться пользоваться простым текстовым редактором. То, что большинство 
профессиональных серверов [пах не имеют доступного графического интерфей- 
са, требует умения редактировать текстовые файлы конфигураций с помощью 
консольного текстового редактора. 

После того как вы научитесь редактировать текстовые файлы, вам все равно 
может быть трудно понять, где находятся файлы, которые нужно отредактировать. 
С помощью таких команд, как Ғіпа, можно искать файлы на основе различных 
атрибутов (имя файла, размер, дата изменения и владелец). С помощью команды 
вгер можно проводить поиск контента внутри текстовых файлов. 
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Редактирование файлов в программах уіт и мі 


При использовании Глпих практически невозможно обойтись без текстового ре- 
дактора, потому что, как отмечалось ранее, большинство файлов конфигурации 
в пах — это обычные текстовые файлы, которые почти наверняка хоть раз при- 
дется изменить вручную. 

В СМОМЕ существует интуитивно понятный текстовый редактор веӣі+ (вве- 
дите веі в поле поиска и нажмите клавишу Епќег или выберите команду меню 
Арріісайопѕ » дед (Приложения » Текстовый редактор)). Можно также запустить 
простой текстовый редактор из командного интерпретатора. Однако большинство 
пользователей Глпах для редактирования текстовых файлов применяют именно 
команды уі или етасѕ. 

Преимущество инструментов уі и етасѕ перед графическим редактором за- 
ключается в том, что их можно использовать из любых оболочки, терминала или 
символьного соединения по сети (например, с помощью +е1пеё или $51), где гра- 
фический интерфейс не требуется. Каждый из них также содержит массу функций, 
которые полезно изучить. 

В следующих разделах будет описана работа с текстовым редактором уі, кото- 
рый используется для неавтоматизированного редактирования текстового файла 
из любой оболочки. Будет рассказано про улучшенные версии уі, называемые уіп. 
(Если вам не подходит уі, изучите врезку «Другие текстовые редакторы».) 


Другие текстовые редакторы 


Есть десятки текстовых редакторов для операционной системы пих. Некоторые 
из них могут быть установлены в вашем дистрибутиве Глпих. Попробуйте их, если 
редактор уі покажется слишком сложным. 


е папо — популярный оптимизированный текстовый редактор, который использу- 
ется со многими системами [лпих и другими ее средами, в которых пространство 
ограничено. Например, он позволяет редактировать текстовые файлы в процессе 
установки Сещоо ших. 


ө ое — текстовый редактор с поддержкой интерфейса СМОМЕ. 


ә ]е4— текстовый редактор с графическим интерфейсом, созданный специально 
для программистов. Он подсвечивает код различными цветами и выделяет в нем 
синтаксические ошибки. Клавиша А применяется для управления текстом. 


ә јое — редактор јое похож на многие текстовые редакторы для ПК. Используйте 
клавишу С и стрелки для перемещения. Нажмите сочетание клавиш СНС для 
выхода без сохранения или СХ для сохранения при выходе. 


ө Каќе — приятный на вид редактор включен в пакет кдебаѕе. У него есть множество 
наворотов, таких как подсветка синтаксиса для различных типов языков про- 
граммирования и элементы управления для переноса слов. 
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ө Кейі — графический текстовый редактор, используется рабочим столом КРЕ. 


е тсе — в этом редакторе функциональные клавиши помогают перемещаться 
по тексту, сохранять, копировать, перемещать и удалять его. Как јеа и јое, это 
экранный редактор. Он задействуется в пакете тс для ВНЕГ и Еедога. 


е пей — отличный редактор для программистов. Для его установки необходимо 
установить дополнительный пакет пеӣі+. 


Если вы подключаетесь к другим компьютерам по сети с помощью $51, то можете 
использовать любой доступный текстовый редактор. Если же для подключения 
к удаленной системе указываете $$1 -Х, на локальном экране появится графический 
редактор. Если графический интерфейс недоступен, то понадобится текстовый 
редактор в оболочке, например \1, јеа или јое. 


Редактор уі трудно освоить, но, хорошо ознакомившись с ним, вы сможете бы- 
стро и эффективно редактировать файлы и перемещаться внутри них с помощью 
клавиатуры. 


Редактор мі 


Чаще всего уі запускается, если нужно открыть определенный файл. Например, 
чтобы открыть файл с именем /+тр/+еѕ, введите следующую команду: 


$ уі /Етр/+еѕ+ 


Если это новый файл, появится что-то похожее на следующее: 


О 


^ 
~ 
~ 
^ 


~ 


"/+тр/+езЕ" [Мем Е11е] 


Мигающий прямоугольник сверху показывает, где находится курсор. Нижняя 
строка информирует о том, что происходит с редактированием (в примере был от- 
крыт новый файл). Тильды (~), стоящие между ними, — это заполнители, потому 
что в файле еще нет текста. А теперь самое пугающее. Здесь нет никаких подсказок, 
меню или значков, которые объясняли бы, что нужно делать. Что еще хуже, вы 
не можете просто начать печатать. Если вы это сделаете, компьютер, скорее всего, 
звуком оповестит об ошибке (и потом некоторые пользователи жалуются, что пах 
недружелюбен). 

Здесь нужно знать, что существует два основных режима работы: командный 
и ввода. Редактор уі всегда запускается в командном режиме. Прежде чем добавить 


Глава 5. Работа с текстовыми файлами 155 


текст в файл или изменить его, необходимо ввести команду — одну или две буквы, 
иногда (не обязательно) с числом после них, чтобы сообщить уі, что нужно сделать. 
Регистр важен, поэтому используйте прописные и строчные буквы точно так, как 
показано в примерах! 


ПРИМЕЧАНИЕ 


В Вед Наї Епќегргіѕе пих, Еейога и других дистрибутивах Ипих для обычных пользователей команда үі имеет 
псевдоним для запуска ут. Если вы наберете аа М, то увидите аНаз үі='үіт'. Первое очевидное различие между 
ми міт заключается в том, что любой известный тип текстового файла, например НТМІ, С или обычный файл 
конфигурации, отображается в цвете. Цвета указывают на структуру файла. Другие функции уіт, которых нет в мі, 
включают в себя визуальную подсветку синтаксиса и режим разделения экрана. По умолчанию суперпользователь 
не имеет псевдонима уіт. Если в вашей системе отсутствует мт, установите соответствующий пакет. 


Добавление текста 


Чтобы войти в режим ввода, укажите букву команды ввода. Для начала наберите 
любую из следующих букв. После ввода текста нажмите клавишу Еѕс (иногда дваж- 
ды), чтобы вернуться в командный режим. Не забывайте про клавишу Еѕс! 

® а — команда «Добавить». Текст вводится справа от курсора. 

® д — команда «Добавить в конце». Текст вводится в конце текущей строки. 

® і — команда «Вставить». Текст вводится слева от курсора. 

® І — команда «Вставить в начале». Текст вводится в начале текущей строки. 

® о— команда «Открыть ниже». Добавляет строку под текущей строкой и пере- 
водит в режим ввода. 


® 0 — команда «Открыть выше». Добавляет строку над текущей строкой и пере- 
водит в режим ввода. 


СОВЕТ 


В режиме ввода внизу экрана появляется надпись -- 1М$ЕВТ --. 


Введите несколько слов и нажмите клавишу Ещег. Повторите, чтобы добавить 
несколько строк с текстом. Когда закончите, нажмите клавишу Еѕс, чтобы вернуться 
в командный режим. Теперь перемещайтесь по тексту с помощью клавиш или букв, 
описанных далее. 


СОВЕТ 


Не забывайте про клавишу Еѕс! Ее нажатие всегда возвращает редактор в командный режим. Помните, что 
иногда необходимо нажать клавишу Е5с дважды. Например, при наборе двоеточия (:) при переходе в режим вво- 
да нужно дважды нажать клавишу Еѕс, чтобы вернуться в командный режим. 
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Перемещение по тексту 
Для перемещения по тексту можно использовать клавиши <, Т, { и ->. Однако есть 


и более удобные клавиши, применяемые в режиме набора текста. 


е Клавиши <, 1, { и ә. Перемещайте курсор вверх, вниз, влево или вправо в фай- 
ле по одному символу за раз. Для перемещения влево и вправо используйте 
клавиши Васкѕрасе и Пробел соответственно. Если вы предпочитаете, чтобы паль- 
цы лежали на клавиатуре, перемещайте курсор с помощью клавиш И (влево), 
| (вправо), ј (вниз) или К (вверх). 

® и — перемещает курсор в начало следующего слова, отделенного пробелами, 
отступами или знаками препинания. 


® н — перемещает курсор в начало следующего слова, отделенного пробелами 
или отступами. 


® р — перемещает курсор в начало предыдущего слова, отделенного пробелами, 
отступами или знаками препинания. 


® в — перемещает курсор в начало предыдущего слова, отделенного пробелами 
или отступами. 


ё (ноль) — перемещает курсор в начало текущей строки. 

$ — перемещает курсор в конец текущей строки. 

Н — перемещает курсор в верхний левый угол экрана (на первую строку на экране). 
М — перемещает курсор на первый символ средней строки на экране. 


Е — перемещает курсор в нижний левый угол экрана (на последнюю строку на 
экране). 


Удаление, копирование и изменение текста 


Необходимо также знать, как удалять, копировать или изменять текст. Команды 
х,а, уи с используются для удаления и изменения текста. Они могут действовать 
совместно с клавишами перемещения (<, 1, } и >>, Рдур, РаОп, буквы и специальные 
клавиши) и цифрами, чтобы точно выделить, что нужно удалить, копировать или 
изменить, например: 

® х — удаляет символ под курсором; 

® х — удаляет символ непосредственно перед курсором; 

Ф 4<?> — удаляет часть текста; 

Ф с<‹?> — изменяет часть текста; 

Ф у‹?> — копирует часть текста. 

Символы <?> после каждой буквы указывают место, где нужно использовать ко- 
манду, чтобы выбрать то, что нужно удалить, изменить или копировать, например: 
® ан — удаляет (4) слово (м) после курсора; 

® ар — удаляет (4) слово (Б) перед курсором; 
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© аа — удаляет (4) всю текущую строку (4); 


© с$ — изменяет (с) символы (фактически стирает их) от текущего символа до 
конца строки ($) и переходит в режим ввода; 


® се — изменяет (с) (опять же стирает) символы с предыдущего символа до начала 
текущей строки (8) и переходит в режим ввода; 


с1 — стирает (с) текущую букву (1) и переходит в режим ввода; 
сс — стирает (с) строку (с) и переходит в режим ввода; 


уу — копирует (у) текущую строку (у) в буфер; 
у) — копирует (у) текущее предложение ()) справа от курсора в буфер; 


у} — копирует (у) текущий абзац (}) справа от курсора в буфер. 


Любая команда из приведенных ранее примеров может быть изменена с по- 
мощью чисел, например: 
® заа — удаляет (4) три (3) строки (а), начинающиеся с текущей строки; 
® Зам — удаляет (4) следующие три (3) слова (м); 


® 5с] — изменяет (с) следующие пять (5) букв (1), то есть удаляет буквы и пере- 
ходит в режим ввода; 


® 12ј — перемещается вниз (ј) на 12 строк (12); 


5см — стирает (с) следующие пять (5) слов (м) и переходит в режим ввода; 
® 4у) — копирует (у) следующие четыре (4) предложения ()). 


Вставка текста 


После того как текст скопирован в буфер (путем удаления, изменения или 
копирования), можно поместить его обратно в файл, используя буквы р или Р. 
Обе команды позволяют по-разному вставить в файл текст, сохраненный в бу- 


фере. 


® Р— помещает скопированный текст слева от курсора, если текст состоит из букв 
или слов, и над текущей строкой, если содержит строки. 


® р — помещает текст справа от курсора, если он состоит из букв или слов, и ниже 
текущей строки, если содержит строки. 


Повтор команд 


Действие удаления, изменения или вставки текста можно повторить, введя точку (.). 
Например, если курсор находится в начале имени Јое, введите см, а затем Јіт, что- 
бы изменить Јое на Јіт. Далее найдите следующее упоминание Јое в файле, уста- 
новите курсор в начале имени и нажмите точку. Слово меняется на Јіт, и можно 
продолжить поиск по тексту. Таким образом можно откорректировать весь файл, 
переходя к нужному слову и нажимая точку, чтобы изменить его. 
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Выход из редактора мі 


Чтобы завершить работу, используйте следующие команды для сохранения или 
выхода из файла: 


® 77 — сохраняет текущие изменения в файле и выходит из уі; 

Ф :н — сохраняет текущий файл, можно продолжать редактирование; 

® :1 — делает то же самое, что и 77; 

® :а— выходит из текущего файла. Работает только в случае, если все изменения 
сохранены; 

® :9! — завершает работу с текущим файлом, не сохраняя только что внесенные 
в него изменения. 

СОВЕТ 


Если вы удалили файл по ошибке, команда :9! — лучший способ выйти из редактора и отменить все изменения. 
Файл вернется к последней измененной версии. Поэтому, если вы просто сохранили его спомощью :м, все сделан- 
ные доэтого момента изменения сохранились. Но, несмотря на то что файл сохранен, можно ввести и и отказаться 
отизменений (вплоть до начала всего редактирования), а затем сохранить снова. 


Мы рассмотрели несколько команд редактирования в редакторе уі. В следу- 


ющих разделах полезных команд будет еще больше. Однако для начала дам не- 
сколько советов, чтобы упростить для вас начало взаимодействия с уі. 


Еѕс. Помните, что клавиша Еѕс возвращает программу в командный режим. (Я ви- 
дел, как люди тыкали в каждую клавишу, пытаясь выйти из файла.) Нажмите 
Еѕс, затем введите 22, и редактор вернется в командный режим, сохранит файл 
и завершит работу. 


и. Нажмите и, чтобы отменить предыдущее изменение. Продолжайте нажимать 
и, чтобы отменить и более ранние. 


С-В. Если вы отменили лишнее, используйте сочетание клавиш С-В, чтобы 
вернуть отмененное. По сути, эта команда отменяет отмену. 


Сарѕ Іоск. Постарайтесь случайно не нажать клавишу Сарѕ іоск. Все, что вводится 
в \1, имеет другое значение при наборе прописных букв. Редактор не пред- 
упреждает о смене регистра, а в тексте начинают происходить не те действия. 


: | команда. Находясь в уі, вы можете запустить команду оболочки, набрав :! 
после имени оболочки. Например, введите : !дафе, чтобы увидеть текущие дату 
и время, : !рма, чтобы опознать текущий каталог, : 1306$, чтобы узнать о про- 
цессах, протекающих в фоновом режиме. Когда команда завершится, нажмите 
клавишу Епќег — и вернетесь к редактированию файла. Этот метод можно ис- 
пользовать даже для запуска оболочки : 1Ба$Н из уі. Выполните несколько 
команд в оболочке, а затем введите ехіё, чтобы вернуться в уі. (Я рекомендую 
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перед выходом в оболочку на всякий случай сохранять процесс — вдруг забудете 
вернуться к \1.) 


СН1+9. Если вы забыли, что именно редактируете, то нажмите эти клавиши — 
и в нижней части экрана отобразятся имя редактируемого файла и строка, на 
которой вы находитесь. Там показаны также общее количество строк в фай- 
ле, процент прочтения файла и номер столбца, на котором находится кур- 
сор. Это поможет сориентироваться после похода за очередной чашкой кофе 
в три часа ночи. 


Прокрутка файлов 


Помимо команд перемещения, описанных ранее, существуют и другие способы 
передвигаться по файлу уі. Чтобы опробовать их, откройте большой файл. (Можете 
скопировать файл /уаг/1о5/теззавез в файл /+тр и открыть его в уі.) Примеры 
команд перемещения: 


СЕ — прокрутка вперед по одной странице за раз; 
С+Ь — прокрутка назад по одной странице за раз; 
Си-а — прокрутка вперед на половину страницы за раз; 
Си — прокрутка назад на половину страницы за раз; 
с — переход к последней строке файла; 

16 — переход к первой строке файла; 


356 — переход к указанной строке (в данном случае 35-й). 


Поиск текста 


Для поиска по тексту файла вперед или назад применяйте либо косую черту (/), 
либо знак вопроса (?). В процессе поиска можно использовать метасимволы, на- 


пример: 

© /һе11о — поиск впереди слова һе110; 

© ?воодБуе — поиск позади слова вооабуе; 

© /тһе. *Ғоо — ищет впереди строку, в которой есть слово Тһе, а после него — 
слово Ғоо+; 

© ?[рР]г1пЕ — ищет позади слова ргіпё и Ргіпё. Помните, что в Глпих регистр 


важен, поэтому используйте скобки для поиска слов, которые могут быть на- 
писаны по-разному. 


Сделав ПОИСКОВЫЙ запрос, введите п, чтобы снова выполнить поиск в том же 


направлении, или М — для поиска в противоположном. 
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Режим редактирования 


Редактор уі изначально не был способен работать в полноэкранном режиме. Однако 
он позволяет запускать команды, которые могут находить и изменять текст в одной 
или нескольких строках одновременно. Если ввести двоеточие, курсор перемеща- 
ется в нижнюю часть экрана и редактор переходит в режим редактирования. Далее 
приведены некоторые из команд ех для поиска и изменения текста. (Я для поиска 
выбрал слова Іоса1 и Кето+е, вы можете использовать любые другие.) 


® :5/1оса1 — ищет в файле слово Іоса1 и выводит каждое его появление. (Если 
данных больше, чем умещается на экран, они передаются по конвейеру в ко- 
манду тоге). 


® :5/1 оса1/Кетоёе — заменяет Кето+е на первое появление слова Іоса1 в текущей 
строке. 


® :р/1оса1/5//Кетое — заменяет первое появление слова Іоса1 в каждой строке 
файла словом Кетоќ+е. 


Ф :5/1оса1/5//Ветофе/в — во всем файле заменяет каждое появление слова Ёоса1 
словом Вептоте. 


Ф :6/1оса1/5//Кетое/ер — во всем файле заменяет каждое появление слова 1оса1 
словом Кетоте, а затем выводит каждую строку с изменениями (через еѕ, если 
выходные данные заполняют более одной страницы). 


Подробнее о мі и мт 


Чтобы узнать больше о редакторе уі, введите уітёиёог. Эта команда открывает в ре- 
дакторе уіт учебник, где описываются общие команды и функции, которые можно 
задействовать в уіт. Чтобы применить команду уітёиќог, установите пакет уіп. 


Поиск файлов 


Даже в базовой инсталляции Гіпих могут быть установлены тысячи файлов. Чтобы 
найти файлы в системе, используйте команды 1оса*е (найти команды по имени), 
Ғіпа (найти файлы на основе множества различных атрибутов) и вгер (в текстовых 
файлах найти строки, содержащие нужный текст). 


Команда |оса{е для поиска файлов по имени 


В большинстве систем Глпах, включая Еейога и ВНЕГ, команда ираӣа+еар выпол- 
няется один раз в день и по всей системе собирает имена файлов в базу данных. 
Запустив команду 1оса+е, можно выполнить поиск в этой базе данных и определить 
расположение файлов, хранящихся в ней. 
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Вот что нужно знать о поиске файлов с помощью команды 1оса*е. 


Команда 1оса+е имеет и преимущества, и недостатки по сравнению с командой 
Ғіпа. Она находит файлы быстрее, потому что ищет по готовой базе данных, а не 
по всей файловой системе. Недостатком является то, что 1осафе не учитывает 
файлы, добавленные в систему после последнего обновления базы данных. 


Не каждый файл файловой системы хранится в базе данных. Содержимое 
файла /еёс/ирӣа+еар. соп ограничивает, какие имена файлов отсекаются в за- 
висимости от выбранных типов монтирования, типов файловой системы, типов 
файлов и точек монтирования. Например, не собираются имена файлов из 
удаленных файловых систем (сі, 1п+ и т. д.) или локально смонтированных 
С” или РУО (1509660). Пути, содержащие временные файлы (/&тр) и файлы 
в очереди обработки (/маг/ѕроо1/сирѕ), также исключаются. При необходимо- 
сти отсекаемые элементы можно добавить в базы данных 1осафе или удалить 
из них. В дистрибутиве КНЕГ. 8 файл ирда+еаь.соп# содержит: 


РКОМЕ ВІМО МОУМТ$ = "уеѕ" 

РКОМЕЕЅ = "Эр аф5 апоп_ іпоӣе#5 аибо аифо+$ Ьдеу біп#тё тіѕс сегоир 
сі?ѕ сода сопҒіе#5 сризеф аебив#ѕ Яӣеуріѕ есгурЕР5 ехоф5$ Ғиѕе Ғиѕе 
.55$ИФ5 ФизесЕ1 25 р#52 вр+5 Пиве{165 іпоі+у#ѕ іѕ09660 ]++$2 
1Іиѕіге тачеие пср#ѕ п#5 п#54 п#ѕа ріре+ѕ ргос гам $ гоо$ грс_ 
ріре#ѕ зесиг1у+$ ѕе1іпих#ѕ 5#5 зосКф5 5у5#5 трф$ ирі#5 иа+ и$65 
серһ Физе.серй" 

РКОМЕМАМЕЅ = ".21% „№8 „з\п „БГ .агсһ-іаѕ {агсН} С\5" 

РКОМЕРАТНЅ = "/а+5 /тедіа /тпе /пеф /5#5 /&тр /чаеу /маг/сасһе/ 
ссасһе /маг/1ір/уит/уитаб /маг/1ір/апғ#/уитаб /маг/ѕроо1/сирѕ /\маг/ 
$роо1/заи14 /маг/+тр /маг/116/серв" 


Обычный пользователь не может просматривать файлы из базы данных 1осаїе, 


которые не отображаются в файловой системе. Например, если не получается 
ввести 1$ для просмотра файлов в каталоге /гоо*, то и файлы, хранящиеся в этом 
каталоге, найти не получится. 


Строка, которую ищут, может находиться в любом месте пути к файлу. Напри- 
мер, при поиске рама можно найти /еёс/раѕѕма, /иѕг/біп/раѕѕма, /поше/сНг1$/ 
раззма / риа 11е$ .Ех& и многие другие файлы со словом раѕѕма в пути. 


Если добавить файлы в систему после запуска ирдатеаь, их нельзя будет найти 
до тех пор, пока ирӣа+еар не запустится снова (вероятно, в ту же ночь). Чтобы 
база данных содержала все файлы, появившиеся до текущего момента, можно 
снова запустить ирдаеедь из оболочки от имени суперпользователя. 


Пример использования команды 1осаќе для поиска файлов: 


$ 1осафе .баѕһгс 
/еёс/ѕке1/ .Ббаѕћгс 
/поте/спеги$/ .Ба$Пгс 
# 1Іоса+е .Ббаѕһгс 
/еёс/ѕке1/ .Браѕћгс 
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/ћоте/6111/.Браѕһгс 
/ћоте/јое/ .Ббаѕһћгс 
/гоої/ .раѕћгс 


При запуске от имени обычного пользователя 1оса+е находит баѕћгс только 
в файле /еёс/ѕКе1 и домашнем каталоге текущего пользователя. При запуске от 
имени суперпользователя та же команда находит файлы Базйгс в домашнем ката- 
логе каждого пользователя системы. 


$ 1осафе 41г_со1ог 
/иѕг/ѕһаге/тап/тап5 /аіг со10г5.5.р2 


$ Іоса+е -1 аіг со1ог 

/еёс/рІК СОГОК5 

/еёс/рІК СОГОКЅ.256со1ог 
/еёс/рІК СОГОКЅ. 1ірһёресо1ог 
/иѕг/ѕһаге/тап/тап5/аіг со10г5.5.р2 


С помощью команды 1оса+е -1 можно найти имена файлов независимо от 
регистра. В предыдущем примере ОтТв_С0108В$ был найден именно с помощью па- 
раметра -1. 
$ 1осафе зегу1се$ 
/ес/ѕегуісеѕ 


/иѕг/ѕһаге/ѕегмісеѕ/бтр.Ктріо 
/иѕг/ѕһаге/ѕегуісеѕ/ ааа. Кктріо 


В отличие от команды +#іпа, которая использует параметр -пате для поиска имен 
файлов, команда Іоса+е находит введенную строку, если она находится в любой 
части пути к файлу. В этом примере поиск ѕегуісеѕ с помощью команды 1осаёе 
находит файлы и каталоги, содержащие текстовую строку ѕегуісеѕ. 


Поиск файлов с помощью команды Йпа 


Команда #іпа лучше всего находит файлы в файловой системе на основе различных 
атрибутов. После того как файлы найдены, с ними можно взаимодействовать (ис- 
пользуя параметры -ехес или -окау) с помощью нужных команд. 

Команда Ғіпа выполняет поиск в реальном времени, из-за чего он идет ме- 
дленнее, чем с командой 1осафе, но по всей файловой системе. Можно задать по- 
иск так, чтобы он начинался в определенной точке файловой системы: ограничив 
область поиска, мы ускоряем его. Практически любой атрибут файла может стать 
параметром для поиска. Можно искать имена файлов, владельца, права доступа, 
размер, время изменения и другие атрибуты, а также их комбинации. Примеры 
использования команды #іпа: 
$ ғіпа 
$ Ғіпа /е+с 
# Ғіпа /ефс 
$ Ғіпа $НОМЕ -15 
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Команда #1п4 запускается в отдельной строке и находит все файлы и каталоги 
уровнем ниже текущего. Если нужно выполнить поиск из определенной точки 
системы, добавьте имя каталога, который требуется найти (например, /еїс). 
Обычному пользователю команда #іпа не дает специальных прав на поиск файлов, 
которые имеет только суперпользователь. И потому он получит кучу сообщений об 
ошибках. Запустите поиск от имени суперпользователя, и команда #іпӣ/еёс найдет 
все файлы в каталоге /еїс. 

Специальный параметр для команды #іпа — это -1$. Длинный список характе- 
ристик (владелец, права доступа, размер и т. д.) выводится с каждым файлом при 
использовании параметра -1$ для команды +1п4 (он аналогичен выводу команды 
15 -1). Этот параметр поможет в последующих примерах, когда потребуется про- 
верить, что нужные файлы (определенного владельца, размера, времени изменения 
или имеющие другие атрибуты) найдены. 


ПРИМЕЧАНИЕ 


Если обычный пользователь выполнит поиск в той части файловой системы, к которой у него нет полного до- 
ступа (например, в каталоге /еќс), появится множество сообщений об ошибках при поиске с помощью йпа. Что- 
бы убрать сообщения, направьте стандартные ошибки в файл /Чеу/пи|. Для этого добавьте в конец командной 
строки 2> /дем/пиії. Выражение 2> перенаправляет стандартную ошибку к следующему параметру — в данном 
случае файлу /Чем/пий, в котором выходные данные отбрасываются. 


Поиск файлов по имени 


Чтобы найти файлы по имени, используйте параметры -пате и -іпате. Поиск 
осуществляется по базовому имени файла, имена каталогов по умолчанию не учи- 
тываются. Чтобы сделать поиск более гибким, можно применить подстановочные 
символы, например звездочки (*) и вопросительные знаки (?), как в следующих 
примерах: 

# Ғіпа /ефс -пате раѕѕма 

/еёс/рат.а/раѕѕма 

/еёс/раѕѕма 

# Ғіпа /ес -іпате '*раѕѕма*' 

/еёс/рат.а/раѕѕма 

/еёс/раѕѕма- 

/еёс/раѕѕма.огр 

/еёс/раѕѕма 

/еёс/МҮРАЅ5М0 

/еёс/ѕесигіёу/ораѕѕма 


Если параметр без звездочек, как в первом примере, то будут перечислены все 
имеющиеся в каталоге /еёс файлы, которые носят точное имя раѕѕмаӣ. С параметром 
-іпате можно сопоставить любую комбинацию в верхнем и нижнем регистрах. 
А используя звездочки, можно сопоставить с ним любое имя файла, содержащее 
слово раѕѕма. 


164 Часть П • Опытный пользователь Мпих 


Поиск файлов по размеру 


Когда диск заполняется и нужно узнать местонахождение самых больших файлов, 
можно выполнить поиск по размеру файла. Параметр -$12е позволяет искать фай- 
лы указанного размера, а также те, что меньше или больше него, например: 


$ Ғіпа /иѕг/ѕһағге/ -ѕіғе +10М 

$ Ғіпа /тоѕ+1убів -$12е -1М 

$ Ғіпа /Ьірда+а -ѕіғе +500М -ѕіғе -56 -ехес 4и -5һ {} \; 
4.16 /бівда+а/ітареѕ/пһе16.ітр 

606М /Бірӣа+а/Ғейога-16-1686-1 іме-Реѕкіор.іѕо 

560М /Бірӣа+а/аапсе2.ауі 


Первая строка ищет файлы более 10 Мбайт. Вторая — файлы менее 1 Мбайт. 
Третья — файлы от 500 Мбайт до 5 Гбайт. В примере есть параметр -ехес (будет 
описан позже), который нужен для запуска команды ди, чтобы увидеть размер 
каждого файла. 


Поиск файлов по имени пользователя 


Можно искать файлы по имени конкретного владельца (-изег) или названию 
группы (-впоир). С помощью параметров -по* и -ог можно конкретизировать по- 
иск файлов, связанных с определенными пользователями и группами, например: 


$ Ғіпа /һоме -изег сйг1$ -15 

131077 4 -ги-г--г-- 1 сһгіѕ сһгіѕ 379 Јип 29 2014 ./.баѕһгс 

# Ғіпа /һоте \( -изег сһгіѕ -ог -иѕег дое \) -15 

131077 4 -ги-г--г-- 1 сһгіѕ сһгіѕ 379 Јип 29 2014 ./.Базбгс 

181022 4 -ги-г--г-- 1 јое ое 379 Јип 15 2014 ./.Базбгс 
# Ғіпа /ес -вгоир пр -15 

131438 4 агихгизг-х 3 гоо пёр 4096 Маг 9 22:16 /еїс/пЁр 

# Ғіпа /уаг/$роо1 -поф -изег гооф -15 


262100 0 -ги-гм---- 1 грс та11 Ө Зап 27 2014 /маг/ѕроо1/таі1/грс 
278504 Ө -ги-гм---- 1 јое та11 9 Арг З 2014 /маг/ѕроо1/таі1/јое 
261230 0 -ги-гм---- 1 6111 та11 Ө рес 18 14:17 /уаг/зроо1/та11/6111 
277373 2848 -ги-ги---- 1 сһгіѕ та11 8284 Маг 15 2014 /маг/ѕроо1/таі1/сһгіѕ 


В первом примере выводится длинный список всех файлов из каталога /һоте, 
принадлежащих пользователю сһгіѕ. Далее перечисляются файлы пользователей 
сһгіѕ или јое. Команда +1п4 из каталога /еќс открывает все файлы, которые имеют 
атрибут пёр в качестве первичной группы. В последнем примере показаны все фай- 
лы каталога /маг/ѕроо1, которые не принадлежат суперпользователю. В выходных 
данных в примере можно увидеть файлы, принадлежащие другим пользователям. 


Поиск файлов по правам доступа 


Поиск файлов по правам доступа — отличный способ выявить проблемы с без- 
опасностью или доступом в системе. Помимо файлов, где права доступа можно 
изменять с помощью чисел или букв (командой сһтоа), существуют и файлы, осно- 
ванные на числовых или буквенных правах доступа с параметром -реги. (См. главу 4, 


Глава 5. Работа с текстовыми файлами 165 


чтобы узнать, как задействовать числа и буквы с командой сһтоа и выводить права 
доступа к файлам.) 

При использовании числовых прав доступа, как показано в примерах далее, 
помните, что эти три числа представляют собой права доступа для пользователя, 
группы и других лиц. Каждое из трех чисел варьируется от отсутствия прав до- 
ступа (9) до полных прав доступа на чтение/запись/выполнение (7) и образуется 
в результате сложения битов прав на чтение (4), запись (2) и выполнение (1). 
Все три указанных бита должны совпадать и иметь перед собой дефис (-), если 
применена косая черта (/), могут совпадать любые из чисел. Определенные целые 
числа должны совпадать, если не используется ни дефис, ни косая черта. 

Приведу пример: 
$ Ғіпа /изг/ЬЗп -регт 755 -15 
788884 28 -гихг-хг-х 1 гооф гоо 28176 Маг 10 2014 /біп/есһо 


$ Ғіпа /һоте/сһгіѕ/ -регт -222 -+уре а -15 
144503 4 дгихгихгих 8 сһгіѕ сһгіѕ 4096 Јип 23 2014 /һоте/сһгіѕ /ОРЕМОІК 


При поиске с параметром -регт 755 выводятся любые файлы или каталоги 
с точными правами доступа гихг-хг-х. При поиске с параметром -регт -222 выво- 
дятся только файлы, имеющие права на запись для пользователя, группы и других. 
Обратите внимание на то, что в этом случае -+уре 4 добавляется только для соот- 
ветствия каталогам. 


$ Ғіпа /тугеааоп1у -регт /222 -+уре + 
685035 Ө@ -ги-гм-г-- 1 сИг1$ сһгіѕ Ө рес 30 16:34 /тугеадоп1у/аЬс 


$ Ғіпа . -регт -@02 -+уре + -15 
266230 Ө -гм-ги-гм- 1 сИг1$ сһгіѕ Ө рес 30 16:28 . /ІМОХ ВІВІЕ/абс 


Используя параметр -регт /222, можно найти любой файл (-+уре +), у которого 
есть право на запись для пользователя, группы или других. Так можно убедиться, 
что все файлы доступны только для чтения в определенной части файловой систе- 
мы (в данном случае под каталогом /тугеадоп1у). Последний пример, -регт /002, 
полезен при поиске файлов, право на запись в которые есть у других, независимо 
от того, как установлены другие права доступа. 


Поиск файлов по дате и времени 


Метки даты и времени сохраняются для каждого файла при его создании и откры- 
тии, изменении его содержимого или метаданных. Метаданные включают в себя 
имя владельца, название группы, отметку времени, размер файла, права доступа 
и другую информацию, хранящуюся в дескрипторе файла. Поиск изменений дан- 
ных файлов или метаданных может понадобиться в следующих случаях. 


® Вы только что изменили содержимое файла конфигурации и не можете вспом- 
нить, какого именно. Поэтому в каталоге /еёс ищете, какие файлы изменились 
за последние десять минут: 


$ Ғіпа /ефс/ -ттіп -10 
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ө Вы подозреваете, что кто-то взломал вашу систему три дня назад. Поэтому про- 
сматриваете систему, чтобы узнать, изменились ли за последние три дня права 
доступа или владельцы у каких-либо файлов: 


$ Ғіпа /БЬіп /иѕг/біп /ѕріп /чзг/$61п -сёіме -3 


® Вы хотите найти на своем ЕТР-сервере (/маг/+#&р) и веб-сервере (/маг/ммм) 
файлы, которые были недоступны более 300 дней, чтобы узнать, нужно ли их 
удалять: 


$ Ғіпа /маг/+Ғр /маг/ммм -аёіте +300 


Как видно из приведенных примеров, можно искать изменения содержимого 
или метаданных в течение определенного времени. Параметры времени (-а1те, 
-сЕ1те и -тёіте) позволяют выполнять поиск в зависимости от количества дней, 
прошедших с момента обращения к каждому файлу, его изменения или изменения 
метаданных. Параметры тіп (-атіп, -стіп и -тпіп) делают то же самое, только 
в минутах. 

Числам, которые применяются в качестве аргументов для параметров тіп и біте, 
предшествуют дефис (чтобы указать время от настоящего времени до этого ко- 
личества минут или дней назад) или знак плюс (чтобы указать прошедшее время 
в минутах или днях). Без дефиса или плюса точное число будет одним и тем же. 


Использование ключевых слов пої и ог при поиске файлов 


С помощью параметров -по* и -ог можно дополнительно уточнить поиск. Бывает, 
нужно найти файлы, принадлежащие определенному пользователю, но не на- 
значенные определенной группе. Эти файлы могут быть и большего размера, 
чем в реальности, и меньшего, чем другие. Или нужны файлы, принадлежащие 
одному из нескольких пользователей. Параметры -по* и -ог могут помочь со 
всем этим. 


ө Существует общий каталог /уаг/а11иѕегѕ. Эта командная строка позволяет 
найти файлы, принадлежащие пользователям јое и сИг15: 


$ Ғіпа /уаг/а11изег$ \( -изег јое -о -изег сһгіѕ \) -15 

679967 9 -ги-г--г-- 1 сИг15$ сһгіѕ Ө рес 31 12:57 
/маг/а11и5ег5/ту]ое 

679977 1812 -гм-г--г-- 1 јое јое 4379 рес 31 13:09 
/маг/а11иѕегѕ/аісі. да 

679972 Ө -гм-г--г-- 1 јое ѕаїеѕ Ө рес 31 13:02 
/маг/а11иѕегѕ/опе 


® Эта командная строка выполняет поиск файлов, принадлежащих пользователю 
Зое, но только тех, которые не назначены группе јое: 


$ Ғіпа /маг/а11иѕегѕ/ -изег јое -пої -вгоир јое -1$ 
679972 @ -гм-г--г-- 1 јое ѕа1еѕ @ рес 31 13:02 /маг/а11иѕегѕ/опе 
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® При поиске можно назначить несколько требований. Например, файл должен 
принадлежать пользователю јое и быть более 1 Мбайт: 
$ Ғіпа /маг/а11иѕегѕ/ -изег јое -апа -$1те +1М -15 
679977 1812 -ги-г--г-- 1 јое гоо 1854379 рес 31 13:09 
/маг/а11иѕегѕ/аісі.даї 


Поиск файлов и выполнение команд 


Одна из самых мощных функций команды #Ғіпа — возможность выполнять ко- 
манды для любых найденных файлов. С параметром -ехес используемая команда 
выполняется для каждого выявленного файла без запроса. С параметром -ок ко- 
манда останавливается на каждом совпадении и спрашивает, нужно ли выполнить 
команду для этого файла. 

Преимущество параметра -ок заключается в возможности убедиться в том, что 
пользователь подтверждает любое действие для каждого файла по отдельности. 
Синтаксис для параметров -ехес и -оК один и тот же: 


$ Ғіпа [ параметры ] -ехес команда {} \; 
$ Ғіпа [ параметры ] -ок команда {} \; 


Можно запустить команду #Ғіпа с любым из параметров, -ехес или -ок, чтобы 
найти нужные файлы. В этом случае вводится параметр -ехес или -ок, за кото- 
рым следует команда, которую нужно запустить для каждого файла. Фигурные 
скобки указывают, где в командной строке читать каждый найденный файл. 
Любой файл может быть включен в командную строку не один раз. Чтобы за- 
кончить строку, нужно добавить обратную косую черту и точку с запятой (\;). 
Вот несколько примеров. 


® Эта команда ищет любой файл с именем раѕѕма в каталоге /еёс и включает это 
имя в выходные данные команды есйо: 


$ Ғіпа /ефс -іпате раѕѕма -ехес есһо "І +оипа {}" \; 
І Роипа /еёс/рат.а/раѕѕма 
І Роипа /еёс/раѕѕма 


® Такая команда находит каждый файл в каталоге /иѕг/ѕһаге размером более 
5 Мбайт. Затем перечисляет размеры всех файлов с помощью команды аи. 
Дальше выходные данные +1па сортируются по размеру, от самого большого 
до самого маленького. При вводе параметра -ехес все найденные записи об- 
рабатываются без запроса: 
$ Ғіпа /иѕг/ѕһаге -$12е +5М -ехес ди {} \; | ог -пг 
116932 /изг/зНаге/1соп$/Н1еНСопга${/1соп-+Пете . сасһе 


69048 /изг/зНаге/1соп$/впоте/1соп-+Пете. сасйе 
20564 /иѕг/ѕһаге/Ғопѕ/сјкипі-итіпе/итіпе. Ес 


® Параметр -ок позволяет выбрать, будет ли каждый найденный файл обраба- 
тываться с помощью введенной команды. Например, нужно найти все файлы 
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пользователя дое в каталоге /уаг/а11и5ег$ и его подкаталогах и переместить 
их в каталог /&тр/јое: 
# Ғіпа /маг/а11иѕегѕ/ -изег јое -ок ту {} /+тр/јое/ \; 


< ту... /маг/а11иѕегѕ/аісї.ааї > ? у 
< М ... /маг/а11иѕегѕ/Ғіме > ? у 


Обратите внимание на то, что в предыдущем примере предлагается подтвердить 
перемещение в каталог /ётр/јое каждого найденного файла. Введите у и нажмите 
клавишу Епќег в каждой строке, чтобы переместить файл, или просто нажмите кла- 
вишу Епќег, чтобы пропустить его. 

Чтобы получить дополнительную информацию о команде #Ғіпа, введите мап 
Ғіпа. 


Поиск по файлам с помощью дгер 


Если нужно выполнить поиск файлов, содержащих определенный поисковый 
запрос, используйте команду вгер. С ее помощью можно рекурсивно искать один 
файл или всю структуру каталогов файлов. 

В поиске нужно напечатать каждую строку, содержащую термин (стандартный 
вывод), или просто перечислить имена файлов, содержащих поисковый запрос. 
По умолчанию згер выполняет поиск текста с учетом регистра, хотя его можно 
и не учитывать. 

Можно использовать вгер не только для простого поиска файлов, но и для по- 
иска стандартных выходных данных. Если команда выдает много текста и нужно 
найти только строки, содержащие определенный текст, применяйте вгер для 
фильтрации данных. 

Несколько примеров командных строк егер: 
$ вгер аезКфор /еЁс/ѕегуісеѕ 


деѕкёор-апа 2763/+&ср # реѕкёор ОМА 
деѕкёор-апа 2763/иар # реѕкёор ОМА 


$ вгер -1 аезКфор /еЁс/ѕегуісеѕ 


$со-Ч%тёг 617/+&ср # 5С0 реѕкор Айтіпіѕігабіоп Ѕегуег 
ѕсо-аётег 617/иар # 5С0 реѕкор Айтіпіѕігабіоп Ѕегуег 
аігѕупс 2175/+ср # Місгоѕо#ё реѕкор АігѕЅупс РгоЁосо1 


В первом примере результат применения вгер для слова аеѕкёор в файле /еёс/ 
ѕегүуісеѕ содержал две строки. Новый поиск с помощью параметра -1 отключил 
чувствительность к регистру (как во втором примере), и были найдены 29 строк 
текста. 

Для поиска строк, не содержащих выделенную текстовую строку, используйте 
параметр -м. В следующем примере отображаются все строки из файла, кроме тех, 
которые содержат текст ср (без учета регистра): 


$ вгер -уі %ср /еЁс/ѕегуісеѕ 
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Для рекурсивного поиска возьмите параметр -г и каталог в качестве аргумента. 
В следующем примере берется параметр -1, который просто перечисляет фай- 
лы, содержащие текст поиска, не отображая реальные строки. Этот поиск нашел 
файлы, в которых есть слово реегап$ (без учета регистра): 


$ вгер -г11 реегап$ /и$г/зПаге/4ос/ 
/иѕг/ѕһаге/аос/апѕтаѕд-2.66/ѕеёир.һЕтІ 
/иѕг/ѕһаге/аос/іпіѕсгіріѕ-9.49.17/5уѕсопҒір.іхі 


В следующем примере выполняется рекурсивный поиск термина гоо* в каталоге 
/еёс/ ѕуѕсопғів. В результате перечисляется каждая строка во всех файлах под ка- 
талогом, содержащим этот текст. Чтобы выделить термин гоо*, добавлен параметр 
-со1ог. По умолчанию цвет соответствия поиску — красный: 


$ вгер -гі --со1ог гоої /еЁс/ѕуѕсопҒірв/ 


Чтобы выполнить поиск выходных данных команды по термину, можно пере- 
дать выходные данные в команду вгер. Я знаю, что в приведенном далее примере 
ТР-адреса перечислены в выходных строках команды ір, которые включают строку 
пе, поэтому использую вгер для отображения только этих строк: 


$ ір адаг ѕһом | егер іпе+ 
іпе 127.0.0.1/8 ѕсоре Поз 10 
іпе 192.168.1.231/24 Бга 192.168.1.255 ѕсоре #1оба1 м1апе 


Резюме 


Умение обращаться с обычными текстовыми файлами — один из необходимых для 
работы в лпах навыков. Поскольку множество файлов конфигурации и докумен- 
тов сохранены в текстовом формате, необходимо владеть текстовым редактором 
и эффективно его использовать. Поиск имен файлов и их содержимого также 
является критически важным навыком. В этой главе мы изучили, как применять 
команды 1осаќе и Ғіпа для поиска файлов и вгер — для поиска в файлах. 

В следующей главе рассматриваются различные способы взаимодействия с про- 
цессами. Мы узнаем, как просматривать, какие процессы выполняются, как за- 
пускать процессы в фоновом режиме и изменять процессы (отправлять сигналы). 


Упражнения 


Выполните упражнения, чтобы проверить свои навыки работы с текстовым редак- 
тором уі (или уіп), командами поиска файлов (1осаїе и +іпа) и поиска в файлах 
(вгер). Задачи подходят для систем Еейога или Кеа Наё Епќегргіѕе Глпих (некото- 
рые сработают и в других системах Глпих). Если затрудняетесь с решением заданий, 
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воспользуйтесь ответами к упражнениям, приведенными в приложении Б (хотя 
Тіпих позволяет решать задачи разными способами). 


1. 


10. 


Скопируйте файл /ес/ѕегуісеѕ в каталог /+тр. Откройте файл /&тр/ѕегуісеѕ 
вуіти найдите файл со словом Мог1амідемеб. Измените его на Мог1а Міае мер. 


Найдите в файле /+тр/ѕегуісеѕ следующий абзац (если его там нет, выберите 
другой абзац) и переместите его в конец этого файла. 


# М№о+е һа 1+ 15 ргеѕепЁ1у +һе ро11су оф ТАМА +о аѕѕівп а ѕіпр1Іе ме11-Кпомп 
# рогі питрег Фог боЁһ ТСР апа УБР; һепсе, тоѕё епёгіеѕ Неге һауе мо епёгіеѕ 
# еуеп 1+ Ве ргофосо1 аоезп'{ зиррогЕ ЦБР орега+іопѕ. 

# Орааъеа +гот ВЕС 1700, "Аѕѕірпеа №итрегѕ" (ОсфоБег 1994). Мое а11 рогіѕ 

# аге іпс1иаеа, оп1у Не тоге соттоп опеѕ. 


Используя режим редактирования, найдите каждое упоминание термина ср 
(регистр важен) в своем файле /+тр/зег\у1сез и измените его на любой другой. 


Как обычный пользователь найдите в каталоге /еёс все файлы с именем раѕѕма. 
Перенаправьте сообщения об ошибках из результатов поиска в /4е\у/пи11. 


Создайте в своем домашнем каталоге каталог с именем ТЕЗТ. Создайте в этом 
каталоге файлы с именами опе, мо и Епгее, у которых есть полные права на 
чтение/запись/исполнение для всех (пользователей, групп и других). Введите 
команду #1 па, чтобы найти эти файлы и любые другие с правами на запись, от- 
крытые для других пользователей, из вашего домашнего каталога и всех прочих, 
расположенных ниже. 


Найдите в каталоге /изг/зНаге/дос файлы, которые не менялись в течение 
300 дней. 


Создайте каталог /&тр/ЕТЕЕ$. Найдите в каталоге /изг/зПаге все файлы раз- 
мером более 5 Мбайт и менее 10 Мбайт и скопируйте их в каталог /Єтр/ҒІ1Е5. 


Найдите все файлы в каталоге /&тр/ЕТЕЕ$ и сделайте в нем резервную копию 
каждого из файлов. Используйте существующие имена файлов и просто до- 
бавьте файл .туБасКир для создания резервных копий всех файлов. 


Установите пакет кегпе1-аос в Еедога или Веа Наё Епќегргіѕе Глпих. С помощью 
команды вгер найдите в файлах, содержащихся в каталоге /изг/зпаге/4ос/ 
кегпе]1 -дос*, термин е1000 (без учета регистра) и перечислите имена файлов, 
содержащих его. 


Вновь найдите там же термин е1006, но на этот раз перечислите каждую строку, 
содержащую его. Термин должен быть выделен цветом. 


Управление активными 
процессами 


В этой главе 


и Отображение процессов. 
ш Запуск процессов в фоновом и обычном режимах. 
= Прерывание и изменение приоритетов процесса. 


Тлпих не только многопользовательская, но и многозадачная операционная система. 
Многозадачность означает, что много программ могут выполняться одновременно. 
Экземпляр запущенной программы называется процессом. Іліпих позволяет пере- 
числять запущенные процессы, мониторить использование системы и прерывать 
(убивать) процессы по необходимости. 

Из оболочки можно запускать процессы, а затем приостанавливать, останав- 
ливать или завершать их. Их можно также выполнять в обычном или фоновом 
режимах. В этой главе описываются команды р, ор, кі11, јобѕ и др., которые по- 
зволяют перечислять процессы и управлять ими. 


Что такое процесс 


Процесс — это запущенный экземпляр команды. Например, в системе может быть 
одна команда уі. Однако если с уі работают одновременно 15 пользователей, то 
она представлена 15 различными запущенными процессами. 

Процесс идентифицируется в системе с помощью так называемого идентифика- 
тора процесса (РПО). Этот РІР уникален для текущей системы. Другими словами, 
ни один прочий процесс не может использовать этот номер в качестве идентифи- 
катора процесса, пока первый процесс работает. Однако после завершения первого 
процесса другой процесс может повторно задействовать это число. 
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У процесса есть не только идентификатор, но и другие атрибуты. Каждый вы- 
полняемый процесс связан с определенной учетной записью пользователя и учет- 
ной записью группы. Информация об учетной записи помогает определить, к каким 
системным ресурсам процесс может получить доступ. Например, у процесса, за- 
пущенного от имени суперпользователя, доступ к системным файлам и ресурсам 
больший, чем у процесса, запущенного от имени обычного пользователя. 

Системному администратору Глпих необходимо уметь управлять процессами, 
протекающими в системе. Иногда запущенные процессы могут привести к сниже- 
нию производительности системы. Управление процессами, которые используют 
память и процессор, также будет описано в данной главе. 


ПРИМЕЧАНИЕ 


Команды, отображающие информацию о запущенных процессах, получают ббльшую часть этой информации 
в виде необработанных данных, хранящихся в файловой системе /ргос. Каждый процесс хранит свою информа- 
цию в подкаталоге /ргос с именем идентификатора этого процесса. Часть необработанных данных можно просмо- 
треть, отобразив содержимое файлов в одном из этих каталогов (используя команды саї или [е55). 


Перечисление процессов 


Команда р$ — одна из первых и наиболее распространенных команд для перечис- 
ления процессов, запущенных в данный момент в системе. [лпих-версия команды 
рѕ содержит множество параметров из устаревших систем МХ и ВЗО, часть из 
которых конфликтуют и реализуются нестандартными способами. На справочной 
странице рѕ представлена информация об этих параметрах. 

Команда фор, которая также перечисляет процессы, больше ориентирована на 
экран и может служить для изменения статуса процессов. В интерфейсе СМОМЕ 
можно использовать утилиту зузет Мопйог (Системный монитор), которая отсле- 
живает процессы в системе и представляет информацию с помощью графических 
средств. Эти команды будут описаны в следующих разделах. 


Перечисление процессов с помощью команды рѕ 


Наиболее распространенная команда для проверки запущенных процессов — это рэ. 
Она позволяет посмотреть, какие программы запущены, какие ресурсы они ис- 
пользуют и кем были запущены. Пример работы команды ре: 

$ рѕ и 

ОЅЕК РТО СРО МЕМ №52 К55 ТТУ ЅТАТ ТАКТ ТІМЕ СОММАМО 


јаке 2147 0.0 0.7 1836 1020 ї+у1 5+ 14:50 0:00 -Ббаѕһ 
јаке 2310 0.0 0.7 2592 912 їїу1 В+ 18:22 0:00 рѕ и 


В этом примере параметр и (как и -и) запрашивает отображение имен пользова- 
телей и другой информации о времени запуска и использовании памяти и процес- 
сора для процессов, связанных с активным пользователем. Показанные процессы 
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связаны с текущим терминалом (++у1). Понятие терминала восходит к былым 
временам, когда люди работали исключительно с символьными терминалами, 
которые обычно представляли одного человека на одном экране. Теперь же мож- 
но иметь несколько терминалов на одном экране, открыв несколько виртуальных 
терминалов или окон на рабочем столе. 

В примере в этом сеансе оболочки событий немного. Первый процесс показы- 
вает, что пользователь по имени јаке открыл оболочку Баѕћ после входа в систему. 
Следующий процесс показывает, что јаке выполнил команду рѕ и. Терминал ++у1 
используется для входа в систему. Столбец $ТАТ отображает статус процесса, ука- 
зывая, запущен ли процесс (В) или находится в спящем режиме (5). 


ПРИМЕЧАНИЕ 


В столбце 5ТАТ могут отображаться несколько значений. Например, знак плюс (+) указывает, что процесс связан 
соперациями, протекающими в обычном режиме. 


В столбце ОЅЕК отображается имя пользователя, запустившего процесс. У каж- 
дого процесса есть номер, называемый идентификатором процесса, или РТО. 
Задействуйте РТ, если нужно убить процесс или отправить другой сигнал про- 
цессу. Столбцы СРО и МЕМ показывают процентное соотношение работы процессора 
и оперативной памяти, которые использует текущий процесс. 

У$ (виртуальный размер процесса) показывает размер процесса изображения 
(в килобайтах), а К55 (размер страниц памяти) — размер программы в памяти. 
Значения У57 и В55$ могут различаться, потому что У$7, — это объем памяти, 
выделенный для процесса, тогда как К$$ — это объем, который используется 
фактически. К$5-память представляет собой физическую незаменяемую память. 

Столбец ТАВТ показывает время начала выполнения процесса, а ТІМ — сово- 
купное используемое системное время. (Большинство команд потребляет мало 
процессорного времени, для тех, которые не использовали и секунды, время от- 
ражается как 0:00.) 

Многие запущенные на компьютере процессы не связаны с терминалом. Обыч- 
но в системе Глпих множество процессов работает в фоновом режиме. Фоновые 
системные процессы выполняют различные задачи, к примеру измеряют актив- 
ность системы или изучают данные из сети. Они часто запускаются при загрузке 
Тіпих и работают непрерывно, пока система не выключится. Аналогично вход на 
рабочий стол Глпих запускает многие фоновые процессы, к примеру процессы 
управления аудио, панели рабочего стола, аутентификацию и другие функции 
рабочего стола. 

Чтобы просмотреть все процессы, запущенные в системе Глпих для текущего 
пользователя, добавьте в рѕ их конвейер (|) и команду 1еѕ: 


$ рѕ их | 1еѕ5 


Чтобы просмотреть все процессы, запущенные для всех пользователей системы, 
используйте команду рѕ аих следующим образом: 


$ рѕ аих | 1еѕ5 
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Конвейер | (на клавиатуре располагается над символом обратной косой черты) 
позволяет направлять вывод одной команды на вход следующей. В этом примере 
выходные данные команды рѕ (список процессов) направляются в команду 1еѕ, 
которая позволяет просматривать эту информацию на странице. Нажимайте кла- 
вишу Пробел, чтобы пролистать страницу, и введите д, чтобы закончить список. 
Можно также применять клавиши со стрелками для перемещения по строкам 
вывода данных. 

Команда рѕ может отображать выбранные столбцы информации и сортировать 
информацию по одному из этих столбцов. Используя параметр -о, можно добавить 
ключевые слова для указания столбцов, которые нужно перечислить с помощью 
команды рѕ. Далее в примере отображаются все запущенные процессы (-е), а за 
ними следует параметр -о для каждого столбца, содержащего нужную информацию, 
включая идентификатор процесса (ріа), имя пользователя (изег), идентификатор 
пользователя (иіа), название группы (вгоир), идентификатор группы (81а), коли- 
чество выделенной виртуальной памяти (\$2), количество резидентной памяти 
(еѕѕ) изапущенную командную строку (соте). 

По умолчанию выходные данные сортируются по номеру процесса (РТО): 


$ р$ -ео рій, иѕег,иіа, вгоир, #19, у52,г55,сотт | 1е$$ 


РІО ЏЅЕК ОІР СКОР бІр №52 55 СОММАМО 
1 гоо Ө гоо? Ө 187660 13296 ѕуѕ+ета 
2 гоо 9 гоо е е 9 Кеһгеааа 


Если нужно отсортировать данные иначе, примените параметр ѕог+=. Напри- 
мер, чтобы увидеть, какие процессы используют больше всего памяти, я сортирую 
список по столбцу \$2 от меньшего к большему. Поскольку мне сначала нужно 
увидеть самые затратные процессы, я поставил дефис перед параметром сорти- 
ровки ($ог%=-\$2): 


$ р$ -ео ріа, иѕег,вгоир, вій, \$2,г$$,сотт --зог4=-\$2 | һеай 


РТО ОЅЕК СКОУР СІр ү52 А55 СОММАМО 
2366 сһгіѕ сһгіѕ 1000 3720060 317060 рпоте-ѕһе11 
1580 рат Бат 42 3524304 205796 рпоте-ѕһе11 
3030 сһгіѕ сһћгіѕ 1000 2456968 248340 ҒігеҒох 
3233 сһгіѕ сћгіѕ 1000 2314388 316252 Мер Соп+еп+ 


Обратитесь к справочной странице рѕ, чтобы узнать больше о других столбцах, 
по которым можно выводить и сортировать информацию. 


Перечисление и изменение процессов 
с помощью команды Тор 
Команда Фор показывает процессы, запущенные в системе. По умолчанию порядок 


их отображения зависит от того, сколько процессорного времени они потребляют 
в данный момент. Однако можно сортировать информацию и по другим столбцам. 
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После того как будет найден неправильно работающий процесс, с помощью коман- 
ды фор можно его завершить (кі11) или изменить его приоритет (гепісе). 

Чтобы завершать или переименовывать процессы, нужно запускать команду 
от имени суперпользователя. Чтобы просто отображать процессы и, возможно, 
завершать или изменять свои собственные, можно запускать команды и от имени 
обычного пользователя. На рис. 6.1 показан пример диалогового окна команды +ор. 


Фор - 14:59:56 ир 1:02, 1 иѕег, Тоа4 ауегаде: 0.44, 0.41, 0.31 

Таѕкѕ: 254 Тоїа1, 1 гиппіпд, 253 51ееріпд, Ө зторред, Ө г2отріе 

%Сри(5): 3.7 иѕ, 1.2 зу, 0.0 пі, 94.9 14, 0.0 ма, 0.2 һі, 0.2 $1, 0.0 51 
М1В Мет : 2336.0 тота\, 163.9 Ггее, 1723.2 и5ед, 448.9 Би?+#/сасһе 
М1В Ѕмар: 0.0 тотат, 0.0 Тгее, 0.0 иѕеа. 412.1 ауа11 Мет 


РТО 05ЕВ 


‹ 
Бе 


СОММАМО 


{ 


С МЕМ 
2366 сһгіѕ 20 Ө 3754664 360232 824125 4.3 15.1 5:04.14 дпоте-ѕһе11 
3233 сһгіѕ 20 Ө 2315412 323812 112896 $ 2.3 13.5 1:55.87 Мер Сопїепї 
15222 соскрії+ 20 Ө 607588 13200 102125 0.7 0.6 0:06.82 соскрії-мѕ 
16924 сһгіѕ 20 Ө 680312 49244 35320 5 0.7 2.1 0:22.68 дпоте-ѕуѕїет- то 
1797 гоої 20 Ө 49132 2456 20845 0.3 0.1 0:00.83 ѕрісе-удадепїа 
3030 сһгіѕ 20 Ө 2456968 252124 101972 $ 0.3 10.5 0:48.93 Тіге?ох 
15246 гоої 20 0 887040 12060 75845 0.3 0.5 0:04.45 соскрії-Бргідде 
1 гоої 20 Ө 187660 13236 78845 0.0 0.6 0:04.81 зузфета 
2 гоої 20 0 0 [2] 05 0.0 0.0 0:00.00 Ктһгеааа 
3 гоої Ө -20 ө 9 от 0.0 0.0 0:00.00 гси др 
4 гоої Ө -20 0 ө ОТ 0.0 0.0 0:00.00 гси раг ор 


Рис. 6.1. Отображение запущенных процессов с помощью команды {ор 


Общая информация о системе отображается в верхней части, а затем указыва- 
ются сведения о каждом запущенном процессе (сколько поместится на экране). 
Сверху показано, как долго система работает, сколько пользователей в настоящее 
время вошли в нее и сколько было запросов за последние одну, пять и десять минут. 

Общая информация включает в себя данные о том, сколько процессов (задач) 
в настоящее время запущено, насколько активно задействован ЦП, сколько ис- 
пользуется оперативной памяти и подкачки ($\ар). Далее приведены списки для 
каждого процесса, отсортированные по степени задействования ресурсов процес- 
сора. Вся эта информация по умолчанию обновляется каждые 5 секунд. 

Далее приведен список действий, которые можно выполнить с помощью ко- 
манды +ор, чтобы отобразить информацию различными способами и изменить 
запущенные процессы. 


® Нажмите клавишу һ, чтобы просмотреть параметры справки, а затем — любую 
клавишу, чтобы вернуться к основному дисплею. 


® Нажмите клавишу М, чтобы отсортировать информацию об использовании па- 
мяти, а затем — клавишу Р, чтобы вернуться к сортировке по процессору. 


® Нажмите цифру 1, чтобы переключать отображение степени использования 
процессоров, если в системе их больше одного. 


® Нажмите клавишу А для обратной сортировки выходных данных. 


Ф Нажмитеџи введите имя пользователя, чтобы увидеть только его процессы. 
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Обычно команда фор применяется для поиска процессов, которые потребляют 
слишком много памяти или вычислительной мощности, и взаимодействия с ними. 
У процесса, потребляющего слишком много ресурсов ЦП, можно сменить приори- 
тет. Или полностью завершить его (убить). Пример использования ор. 


© Смена приоритета. Запомните идентификатор процесса, для которого нужно 
сменить приоритет, и, когда появится сообщение РІО ќо гепісе, введите номер. 
При появлении запроса Вепісе РТО {о уаце на изменение значения РТО введите 
число от —20 до 19. (См. подраздел «Настройка приоритета с помощью команд 
пісе и гепісе» далее в этой главе, чтобы узнать о значениях для гепісе.) 


ө Убийство процесса. Запомните идентификатор процесса и нажмите клавишу К. 
Введите 15, чтобы процесс завершил работу, или 9, чтобы остановить его сразу. 
(Дополнительную информацию о различных сигналах, которые можно посы- 
лать процессам, см. в подразделе «Завершение процессов с помощью команд 
К и КШаП» далее в этой главе.) 


Перечисление процессов с помощью программы 
«Системный монитор» 


Если у вас рабочий стол СМОМЕ, то вы можете воспользоваться программой «Си- 
стемный монитор» (Зузбет Мопіќог), которая отображает все процессы в системе 
в графическом представлении. Процессы сортируются щелчками кнопкой мыши 
на столбцах. Можно также щелкнуть правой кнопкой мыши на процессе, чтобы 
заморозить или завершить его либо изменить его приоритет. 

Чтобы запустить программу Зузет Мопйог в СМОМЕ, нажмите клавишу 
үуіпаомѕ, а затем введите Ѕуѕ+ет Моп1ог и нажмите клавишу Епќег. Затем выберите 
вкладку Ргосеѕѕеѕ (Процессы). На рис. 6.2 показано окно бу%ет Мопіќќог (Системный 
монитор) с процессами текущего пользователя, отсортированными по степени 
использования памяти. 


Ргосеѕѕеѕ Везоигсе$ Ғйе 5уѕіетѕ а = х 
|Ргосеѕѕ Мате Оѕег % СРО Ш Метогу = ОК геаа {оба 05К мигКе сос О15К геад ОК мгіќе Ргіогіќу 
№ дпоте-5Не! [413 1 2366 276.8 МВ 11.4 мВ 952.0 ЮВ М/А М/А Могла 
Ф Мер Сопќепі Сћгіѕ 1 3233 198.6 МВ 15.5 МВ МА М/А М/А Моггпа\ 

Пгеѓох сһгіѕ 0 3030 14128 220.8 МВ 128.2 МВ М/А М/А Мота! 
д сһгіѕ О 2644 518Ммі8 9.7 МІВ 21 МВ М/А М/А Моптаі 
@'Мер Сощепе сһгіѕ О 16945 196МІВ 10.6 МВ М/А М/А М/А Могтаі 
дпоте-ѕуѕгет-гтопіог Сћгіѕ 0 16924 169М8 10.3 МВ МА МА М/А Мопта! 
№ ѕеарріес сһгіѕ О 2687 152мВ 612.0 КІВ 12.0 КІВ М/А М/А Моптаі 
| земоішіоп-аіагт-поёбќу СПб О 2690 128Мм8 996.0 КІВ М/А М/А М/А Моптаі 
№ дпоте-(егтіпаі-ѕегмег Сћгіѕ 0 3467 125м8 15.3 МВ 20.0 КІВ М/А М/А Мота 
(Ф ітаскег-5їоге Сћгіѕ 0 2677 п4мв 5.4 МВ 312.0 КІВ М/А М/А Мопта! 
Ю Хуауіапа сһгіѕ О 2392 108мі8 244.0 КІВ 24.0 ЮВ М/А М/А Могта( 
[Реуошоп-зоигсе-гед\гу Сһгіѕ 0 2458 98Мм8 23.5 МІВ М/А МА М/А Могтла{ 
| )еуоіийоп-саіепаг-ѓасќогу-ѕиЫ; сһгіѕ 0 2715 9.8 МВ 624.0 КІВ М/А М/А М/А Моптаі 
№16и5-х11. сһгіѕ 0 2434 9.6 МВ М/А М/А МА М/А Могтаі 


Рис. 6.2. Окно программы бу$ет Мопіќог 
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По умолчанию отображаются только запущенные процессы, связанные с учет- 
ной записью пользователя, в алфавитном порядке. Чтобы отсортировать процессы, 
щелкните кнопкой мыши на любом из заголовков таблицы. Например, щелкните на 
заголовке %СРО, чтобы увидеть, какие процессы потребляют больше всего ресурсов 
процессора. Или на заголовке Метогу (Память), чтобы увидеть, каким процессам 
требуется больше всего оперативной памяти. 

Процессы можно изменять различными способами, щелкнув правой кнопкой 
мыши на имени процесса и выбрав действие в появившемся меню (рис. 6.3). 


Ргосеѕѕеѕ Кеѕошгсеѕ Ее 5уѕќетѕ 


Зелло ав | 
Ргосеѕѕ Мате Оѕег % СРО 1р Метогу ~ ОБК геад Тоба ОБК млКе ёо ОК геад Сік мг ие Рпо Ку 
№ дпоте-ѕћец [4115 О 2366 276.9 МВ 1.5 МВ 964.0 КІВ МА М/А Мога 


Мер Сопќепе сһгіѕ 2 3233 214.5 МВ 


16.5 МВ МА М/А М/А Могта{ 
В 220.8 


220.8 МВ М М/А М/А Моптаї 
9.7 мВ 2.1 МВ МА М/А Мога! 


Ўбгеѓох 


Ко дпоте-зоЙмиаге: 1.8 МВ 

Фе Сомеги Мету Маре С1+М бмв 120.6мв МА МА МА Могта 

| дпоте-зует-попког Ореп Ейеѕ СИ+О [6.9 мв 103 мВ МА МА М/А Мога! 

{Ф ѕеарріет Сһаподе Ргіогіу » 152 МВ 612.0 ЮВ 12.0 кв МА М/А Мота! 
(2)емоіибоп-аіагт-поёйу юр ©и+5 [28 МВ 9960КіВ МА М/А М/А Могта! 

№ 9поте-ќегтіпа{-ѕегмег Сопіпџе Си+С 12.5 МВ 15.3 МВ 20.0 КІВ МА М/А Могтаі 

№ ітаскег-5{оге Епа С+Е 114 МВ 5.4 МІВ 312.0 КІВ М/А М/А Могта{ 

{Ф Хмауіапа ки сизк 08 МВ 244008 24.0 кі8 М/А М/А Могта! 
|2)емоіџйоп-ѕоигсе-гедіѕїгу Сћгі5 9 2458 9.8 МВ 23.5 МВ МА МА М/А Могтаі 

| Епа Ргосеѕѕ |") | 


Рис. 6.3. Настройка приоритетов, завершение и остановка процессов 
в окне программы Ѕуѕќет Мопіќог 


Рассмотрим действия с процессами. 


® біор (Остановить) — приостанавливает процесс, пока не будет выбрано действие 
Сопіпие Ргосеѕѕ (Продолжить), — это то же самое, что нажать сочетание клавиш 
Сі1+7 на процессе из оболочки. 


© Сопіпие (Продолжить) — продолжает остановленный процесс. 


® Епа (Завершить) — посылает процессу сигнал завершения (15). В большинстве 
случаев это действие полностью завершает процесс. 


ө Ки (Убить) — посылает процессу сигнал уничтожения (9). Немедленно завер- 
шает процесс в любом случае. 


® Сһапде Ргіогїу (Изменить приоритет) — список приоритетов от очень низкого до 
очень высокого. Выберите пункт Сиѕіот (Другой), чтобы отобразить ползунко- 
вый регулятор приоритета. Обычный приоритет равен 0. Высокий приоритет 
обозначается отрицательными цифрами от —1 до 20. Низкий приоритет обо- 
значается цифрами от 0 до 19. Только суперпользователь может назначать от- 
рицательные приоритеты, поэтому, чтобы установить высокий приоритет, при 
появлении запроса необходимо указать пароль. 


© Метогу Марѕ (Карты памяти) — позволяет просмотреть карту системной памяти, 
чтобы увидеть, какие компоненты хранятся в памяти для данного процесса. 
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® Ореп ЕіІеѕ (Открытые файлы) — позволяет просмотреть, какие файлы в данный 
момент открыты из-за процесса. 


® Ргорегіеѕ (Свойства) — позволяет просматривать другие параметры, связанные 
с процессом (например, контекст безопасности, использование памяти и про- 
цент использования процессора). 


Можно отображать запущенные процессы других пользователей. Для этого 
выделите любой процесс (просто щелкните на нем кнопкой мыши). Затем в меню 
(кнопка с тремя полосами) выберите пункт А! Ргосеѕѕеѕ (Все процессы). Изменять 
процессы других пользователей можно только от имени суперпользователя или 
с помощью его пароля. 

Бывает, что графического интерфейса нет. Чтобы изменять процессы без графи- 
ческого интерфейса, можно использовать набор специальных команд и сочетаний 
клавиш. Некоторые из них мы рассмотрим позже. 


Управление обычными и фоновыми процессами 


Если вы работаете с Ііпих по сети или через неинтеллектуальный терминал (мо- 
нитор, который позволяет только вводить текст, без графического интерфейса), 
командный интерпретатор — единственное, что у вас есть. Легко привыкнуть к гра- 
фической среде, где есть множество активных программ, между которыми можно 
быстро перемещаться по мере необходимости. А вот оболочка может показаться 
в этом смысле ограниченной. 

Хотя оболочка Баѕћ не использует графический интерфейс для одновремен- 
ного запуска многих программ, она позволяет перемещать активные программы 
в фоновый режим и наоборот. Таким образом можно одновременно работать с не- 
сколькими процессами или только с одним. 

Существует несколько способов переведения активной программы в фоновый 
режим. Один из них — добавить амперсанд (&) в конец командной строки при 
первом запуске команды. Эту команду можно использовать, чтобы выполнять 
команды, не подключаясь к оболочке. 

Чтобы остановить запущенную команду и перевести ее в фоновый режим, 
нажмите сочетание клавиш Сі1+2. После того как команда остановлена, можно 
либо вернуть ее в обычный режим (команда +в), либо запустить в фоновом ре- 
жиме (команда бв). Имейте в виду, что любая команда, работающая в фоновом 
режиме, может выдать выходные данные во время выполнения команд в обычном 
режиме. Например, если появляется вывод из команды, работающей в фоновом 
режиме во время сеанса уі, нажмите сочетание клавиш С1+1, чтобы обновить экран 
и убрать вывод. 


СОВЕТ 


Чтобы избежать появления выходных данных, заставьте любой процесс, работающий в фоновом режиме, отправ- 
лять свои выходные данные сразу в файл или в пи! (введите 2> /дем/пиії в конец командной строки). 
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Запуск фоновых процессов 


Если нужно продолжить работу в оболочке, запустите нужный процесс в фоновом 
режиме. Чтобы перевести программу в фоновый режим во время запуска, введите 
амперсанд (&) в конце командной строки, например: 


$ Ғіпа /иѕг > /Етр/а11иѕгғі1еѕ & 
[3] 15971 


В примере команда находит все файлы в системе Г4пих (начиная с /изг), выво- 
дит имена файлов и помещает их в файл /&тр/а11иѕг+і1еѕ. Амперсанд (&) запускает 
эту командную строку в фоновом режиме. Обратите внимание на то, что при за- 
пуске команды отображаются номер задания [3] и идентификатор процесса 15971. 
Чтобы проверить, какие команды выполняются в фоновом режиме, используйте 
команду 06 следующим образом: 


$ 305$ 

[1] Ѕ+орреа (у очёри®) уі /&тр/ту+і1е 

[2] ВКиппіпе Ғіпа /иѕг -ргіпе > /етр/а11иѕгғі1еѕ & 
[3] ВКиппіпе пгоҒЕ -тап /иѕг/тап2/* > /©тр/тап2 & 
[4]- Киппіпе ПРоҒҒ -тап /иѕг/тап3/* > /©тр/тапз & 
[5]+ Ѕ+орреа ПРоҒҒ -тап /иѕг/тап4/* > /©тр/тап4. 


Первое задание показывает команду редактирования текста (уі), которая при- 
остановлена (с помощью сочетания клавиш Сі1+2) и находится в фоновом режиме. 
Задание 2 показывает только что запущенную команду +Ғіпа. Задания З и 4 показы- 
вают команды пго##, работающие в данный момент в фоновом режиме. Задание 5 
выполнялось в оболочке (в обычном режиме), пока я не решил, что запущено 
слишком много процессов, и не нажал С, чтобы остановить его, пока не будут 
завершены другие процессы. 

Знак плюс (+) рядом с цифрой 5 показывает, что процесс совсем недавно пере- 
веден в фоновый режим. Знак минус (-) рядом с цифрой 4 показывает, что процесс 
был переведен в фоновый режим предпоследним. Поскольку задание 1 требует 
ввода терминала, оно не может выполняться в фоновом режиме. В результате оно 
остановлено ($+орред) до тех пор, пока его не переведут в обычный режим. 


СОВЕТ 


Чтобы увидеть идентификатор процесса для фонового задания, добавьте параметр -| (строчная буква 1) в коман- 
ду задания. Введите рѕ, чтобы с помощью идентификатора процесса выяснить, какая команда предназначена для 
конкретного фонового задания. 


Команды для обычного и фонового режимов 


В том же примере можно вывести на передний план любую из команд, входящую 
в список заданий. Например, для редактирования файла ту#і1е нужно снова 
ввести: 


$ Ғе %1 
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В результате команда уі будет запущена вновь. Весь текст остается таким же, 
каким был до остановки задания мі. 


ВНИМАНИЕ! 


Прежде чем перевести текстовый редактор или аналогичную программу в фоновый режим, убедитесь, что файл 
сохранен. Легко забыть о программе, работающей в фоновом режиме, выйти из системы и потерять данные. 


Чтобы вернуться к фоновому заданию (отменить его или перевести в обычный 
режим), используйте знак процента (%), после которого стоит номер задания. 
Для работы с фоновым процессом применяйте следующие команды. 


ө %. Относится к последней команде, помещенной в фоновый режим (обозна- 
чается знаком плюс при вводе команды 305$). Выводит команду на передний 
план. 

Ф %51гіпр. Относится к заданию, в котором команда начинается с определенной 
строки символов. Строка должна быть однозначной. (Другими словами, ввод 
%уі при наличии двух команд уі в фоновом режиме приводит к появлению со- 
общения об ошибке.) 

Ф %>51гіпв. Относится к заданию, в котором командная строка содержит строку 
в любой точке. Строка должна быть однозначной, в ином случае совпадения 
не будет. 


Ф %--. Относится к последнему остановленному процессу. 


Если команда остановлена, ее можно снова запустить в фоновом режиме с по- 
мощью команды бе. Чтобы рассмотреть, как это происходит, вернемся к заданию 5 
из списка заданий в предыдущем примере: 


[5]+ Ѕ+орреа пго+Р -тап /иѕг/тап4/* >/+тр/тап4 

Введите: 
$ БЕ %5 

После этого задание станет выполняться в фоновом режиме. Запись о заданиях 
будет выглядеть следующим образом: 


[5] Киппіпе пго+ -тап /иѕг/тап4/* >/+тр/тап4 & 


Завершение процессов и изменение 
их приоритетов 


Точно так же, как можно изменять поведение процесса с помощью графических 
инструментов, таких как Ѕуѕіет Мопіќог (описан ранее в этой главе), можно ис- 
пользовать средства командной строки, чтобы завершить процесс или изменить 
его приоритет. Команда кі11 посылает сигнал завершения любому процессу при 
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условии, что у пользователя есть разрешение на это. Команда может также посы- 
лать различные сигналы процессу, чтобы изменить его поведение. Команды пісе 
и гепісе применяются для настройки или изменения приоритета. 


Завершение процессов 
с помощью команд КИ и Кіа! 


Обычно команды К111 и кі11а11 применяются для завершения запущенного про- 
цесса, однако они могут отправлять запущенному процессу любую допустимую 
инструкцию. Помимо отправки сигнала завершения, команда может сообщить 
процессу о необходимости пересмотреть файлы конфигурации, приостановиться 
(остановиться) или продолжить выполнение после приостановки, и это еще не все 
варианты. 

Сигналы представляются как числами, так и именами. Чаще всего для команд 
используют сигналы 516КкІШ (9), ЅІСТЕКМ (15) и $Т6НУР (1). Сигналом по умолча- 
нию является $Т6ТЕВМ, который аккуратно завершает процесс. Чтобы немедленно 
завершить процесс, задействуйте $текти 1. Сигнал 51СНІР в зависимости от програм- 
мы может сообщить процессу, чтобы он пересмотрел свои файлы конфигурации. 
$165ТОР приостанавливает процесс, а $т6СОМТ продолжает остановленный процесс. 

Разные процессы по-разному реагируют на различные сигналы. Однако про- 
цессы не могут блокировать сигналы 516КІШ и 5165Т0Р. В табл. 6.1 приведены при- 
меры некоторых сигналов (введите тап 7 ѕірпа1, чтобы узнать о других доступных 
сигналах). 


Таблица 6.1. Сигналы в Ипих 


Сигнал Номер Описание 


СНОР |1 Обнаружен обрыв связи с управляющим терминалом либо 
завершение управляющего процесса 


5ІСІМТ 2 Прерывание с клавиатуры 

СОТ |3 Выход с клавиатуры 

$САВВТ |6 Сигнал прерывания, посланный функцией аБог((3) 
СКП, |9 Сигнал немедленного завершения 

5ІС- 15 Сигнал завершения 

ТЕКМ 


ЅІССОМТ | 19, 18, 25 Продолжить выполнение, если остановлен 


ІСТОР | 17, 19, 23 Приостановить выполнение процесса 


Обратите внимание на то, что для 516С0МТ и 5165ТОР существует несколько воз- 
можных чисел, поскольку разные номера используются в разных компьютерных 
сборках. Для большинства сборок х86 и Ро\ег берите среднее значение. Первое 
значение обычно работает в АІрћа и ЗРАКС, а последнее — в МТР$. 
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Отправка сигналов с помощью КИ! по РТО 


Используя команды рѕ и ор, можно найти процессы и отправить им сигналы. 
Затем можно использовать идентификатор этого процесса (РГ) в качестве пара- 
метра для команды К111. 

Например, вы запускаете команду ор и видите, что процесс 61всоттапа по- 
требляет большую часть вычислительной мощности компьютера: 


РТО ОЅЕК РКА МТ \ТВТ КЕ5 $НК 5 #СРУ ЖМЕМ ТІМЕ+ СОММАМО 
10432 сһгіѕ 20 0 471т 121п 18т 5 99.9 3.2 77:01.76 Б1есоттапа 


В примере процесс 61всоттапа потребляет 99,9 % ресурсов ЦП. Пользователь 
решает завершить его, чтобы освободить ресурсы компьютера для других. Вот как 
можно завершить процесс несколькими способами, используя идентификатор за- 
пущенного процесса бівсоттапа: 


$ кі11 10432 
$ Кі11 -15 10432 
$ Кі11 -51СКІІІ 10432 


По умолчанию сигнал, посылаемый командой кі11, равен 15 ($Т6ТЕВМ), по- 
этому у первых двух примеров результаты одинаковые. Иногда $Т6ТЕВМ не может 
завершить процесс, поэтому понадобится сигнал 516КІІ, чтобы убить его. Вместо 
Ѕ5ІСКІІІ можно использовать -9 и получить тот же результат. 

Полезен и сигнал $Т6НУР. Если, например, на рабочем столе СМОМЕ произошел 
сбой, отправьте в впоме-$Не11 сигнал $ТбНУР, чтобы перечитать его файлы конфи- 
гурации и перезапустить. Если бы идентификатор процесса для рпоте-ѕһће11 был 
1833, то отправить ему сигнал 516НОР можно было бы двумя способами: 


# Кі11 -1 1833 
# Кі11а11 -НОР рпоте-ѕһе11 


Отправка сигналов процессам с помощью КИа! по имени 


С помощью команды кі11а11 можно отправлять сигналы процессам, указывая их 
имена, а не идентификаторы. Преимущество этого приема в том, что в таком случае 
для завершения процесса идентификатор не нужен. Потенциальный недостаток 
заключается в том, что по неосторожности можно завершить больше процессов, 
чем нужно. (Например, набрав кі11а11 Баѕћ, можно завершить кучу оболочек, чего 
не стоило бы делать.) 

Как и кі11, команда кі11а11 по умолчанию использует сигнал $ТСТЕВМ (15), если 
не указан другой. Кроме того, как и в случае с К111, можно отправить любой сигнал 
в процесс, вызванный с помощью кі11а11. Например, чтобы завершить процесс под 
названием %е$*те, запущенный в системе, введите: 


$ К111а11 -9 +еѕіте 


Команда кі11а11 особенно полезна, если нужно завершить множество команд 
с одинаковым именем. 
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Настройка приоритета 
с помощью команд пісе и гепісе 


Когда ядро Глпих решает, какие запущенные процессы получают доступ к процес- 
сорам, оно принимает во внимание и указанный для процесса приоритет. Каждый 
запущенный в системе процесс имеет приоритет в диапазоне от —20 до 19. По умол- 
чанию устанавливается приоритет 0. Приведу сведения о приоритетах. 


® Чем ниже значение приоритета, тем процесс приоритетнее для процессора. 
Чем выше значение приоритета, тем меньше процессор «обращает внимания» 
на процесс. Таким образом, процесс со значением —20 приоритетнее для про- 
цессора, чем процесс со значением 19. 


® Обычный пользователь может установить приоритет только от 0 до 19. Отри- 
цательные значения ему недоступны. Таким образом, обычный пользователь 
не может устанавливать приоритет процессов выше, чем задано по умол- 
чанию. 


® Обычный пользователь может только увеличивать значения, но не уменьшать. 
Так, например, если пользователь установит значение приоритета 10, а затем 
захочет вернуться к значению 5, действие выполнено не будет. Любая попытка 
установить отрицательное значение также окажется неудачной. 


® Обычный пользователь может устанавливать приоритет только для собствен- 
ных процессов. 


® Суперпользователю разрешено устанавливать приоритеты для любого процесса, 
и это может быть любое допустимое значение. 


Используйте команду пісе, чтобы установить приоритет процесса. Для изме- 
нения приоритета уже запущенного процесса задействуйте команду гепісе вместе 
с идентификатором процесса, как показано далее: 


# пісе -п +5 ираа+еаь & 


Команда ирӣа+еаь применяется для принудительного создания базы данных 
путем сбора имен файлов по всей файловой системе. В примере мне было необхо- 
димо, чтобы процесс ирдатедь работал в фоновом режиме (&) и не прерывал рабо- 
ту, выполняемую другими процессами в системе. Я запустил команду Фор, чтобы 
убедиться, что приоритет установлен правильно: 


РТО У$ЕК РК МТ \УТВТ КЕЅ ЅНК 5 %СРУ ЖМЕМ ТІМЕ+ СОММАМО 
20284 гоої 25 5 98.7т 932 644 р 2.70.0 0:00.96 ираафеаь 


Обратите внимание на то, что в столбце №1 указан приоритет 5. Поскольку ко- 
манда запущена от имени суперпользователя, позже значение приоритета можно 
уменьшить с помощью команды геп1се. (Помните, что обычный пользователь 
не может уменьшить значение приоритета и установить отрицательное число.) 
Так, можно изменить приоритет команды ирдӣаќ+еаб, задав значение -5: 


# гепісе -п -5 20284 
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Снова запустив команду ор, можно заметить, что команда ирӣа+еар теперь 
находится в верхней части списка процессов, потребляющих ЦП, благодаря уста- 
новленному приоритету. 


Ограничения для процессов с помощью сдгоирѕ 


Используйте функцию установки приоритета, чтобы дать одному процессу боль- 
ший или меньший доступ к процессорному времени. Однако значение приоритета 
процесса не применяется к его дочерним процессам или любым другим связанным 
процессам. Другими словами, приоритет не ограничивает общее количество ре- 
сурсов, которые конкретный пользователь или приложение может потреблять из 
системы Глпих. 

По мере развития облачных вычислений многие системы Глпих будут работать 
скорее как гипервизоры, чем как компьютеры общего пользования. Их память, 
вычислительная мощность и доступ к хранилищу станут широко задействоваться 
множеством обычных пользователей. В таком случае необходимо иметь больше 
возможностей для управления объемом системных ресурсов, к которым имеют 
доступ конкретный пользователь, приложение, конвейер или виртуальная машина 
в системе Глпих. 

Вот тут-то и появляются контрольные группы механизма сетоирз. 

Данный механизм используется для идентификации процесса как задачи, при- 
надлежащей определенной контрольной группе. Задачи могут быть выстроены 
в соответствии с иерархией, вверху которой может находиться, например, задача- 
демон, устанавливающая ограничения по умолчанию для всех процессов сервера 
демонов, а ниже — подзадачи, которые задают определенные ограничения для 
демона веб-сервера (НЕЕра) и демона службы ЕТР (уѕ#%ра). 

Поскольку задача запускает процесс, то процессы, начатые начальным про- 
цессом (их называют дочерними), имеют те же ограничения, что и родительский 
процесс. Ограничиваться может доступ к определенным процессорам или опре- 
деленным наборам оперативной памяти. Можно также ограничить доступ к 30 % 
общей вычислительной мощности. 

Типы ресурсов, которые могут быть ограничены механизмом свгоирѕ, таковы. 


ө Устройства (61К1о) — устанавливает лимиты на доступ к запоминающим 
устройствам (жестким дискам, О5В-накопителям ит. д.). 


® Процессор (сри) — обеспечивает доступ процессов в рамках контрольной 
группы к СРО. 


ө Учет процессов (сриассї) — генерирует отчеты об использовании ресурсов про- 
цессора. С помощью данной информации можно рассчитать, сколько клиенты 
должны будут заплатить за объем задействуемой ими вычислительной мощности. 


® Распределение процессоров (сризе*) — при наличии нескольких процессорных 
ядер распределяет между ними задачи в рамках контрольной группы. 
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® Доступ к устройствам (де\1се$) — разрешает или блокирует доступ (ткпоӣ) 
к выбранным устройствам. 


е Приостановка процесса (Ғгеегег) — приостанавливает и возобновляет выпол- 
нение задач в рамках контрольной группы. 


® Использование памяти (петогу) — управляет выделением памяти для групп 
процессов и создает отчеты об используемых ресурсах. 


® Пропускная способность сети (пе _с15) — ограничивает доступ к сети для 
выбранных задач в рамках контрольной группы. Помечает сетевые пакеты 
специальной меткой, позволяя идентифицировать порождаемые определенной 
задачей в рамках контрольной группы. 


© Сетевой трафик (пе _ргіо) — используется для динамической установки прио- 
ритетов по трафику, позволяет администратору изменять приоритеты. 


® Пространство имен (пѕ) — разделяет контрольные группы на пространства 
имен, причем для одной контрольной группы видны только связанные про- 
странства имен. Пространства имен могут включать отдельные таблицы про- 
цессов, таблицы монтирования и сетевые интерфейсы. 


На базовом уровне создание контрольных групп и управление ими не явля- 
ется основной задачей системных администраторов Глтих. Однако важно уметь 
редактировать файлы конфигурации и создавать контрольные группы (/ефс/ 
свсоп+1 в . соп) или устанавливать ограничения для определенных пользователей 
либо групп (/ес/свги1еѕ .соп+). Для создания групп сегоирѕ можно использовать 
также команду свсгеаќе, в результате эти группы будут добавлены в иерархию 
/5у5/5/свгоир. Настройка контрольных групп — задача непростая, и, если ее вы- 
полнить неправильно, система может перестать загружаться. 

Я рассказываю о группах потому, что необходимо понимать основные функ- 
ции пих, которые применяются для ограничения используемых ресурсов 
и мониторинга. В будущем вы, вероятно, столкнетесь с этими функциями у кон- 
троллеров облачной инфраструктуры. Вы сможете устанавливать правила, напри- 
мер <разрешать виртуальным машинам отдела маркетинга потреблять до 40 % 
доступной памяти» или «привязать базу данных к определенному процессору 
и набору памяти». 

Знание того, как іпих может ограничивать использование ресурсов набором 
процессов, назначенных задаче, в конечном счете поможет лучше управлять вы- 
числительными ресурсами. Чтобы узнать больше о контрольных группах, изучите 
следующие документы. 


ө Руководство Веа Наб Епќегргіѕе Глпах Кезоигсе Мапазетеп апа Піпих Соп- 
{ашегз, ассеѕѕ.гейһаё.сот/доситепќайоп/еп-иѕ/геа_Һаё_Епќегргіѕе_Ііпих/7/Һті-ѕіпдіе/ 
геѕоигсе тападетепі_ диіае/іпаех. 


® Информация о контрольных группах на сайте Кегпе!. Перейдите к файлу 
/чзг/зНаге/аос/Кегпе1-4ос-*/Боситепфа*1оп/свгоир$ после установки пакета 
Кегпе] - дос. 
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Резюме 


Даже в не особо активной системе Глпах обычно функционируют десятки и даже 
сотни процессов в фоновом режиме. С помощью инструментов, описанных в этой 
главе, можно просматривать процессы, запущенные в системе, и управлять ими. 
Управление процессами включает в себя их просмотр различными способами, 
запуск в обычном или фоновом режиме, а также изменение или завершение. 
Ограничения на использование ресурсов устанавливаются с помощью функции 
контрольных групп. В следующей главе вы узнаете, как объединить команды 
и функции программирования в файлы, которые можно запускать как скрипты 
оболочки. 


Упражнения 


Выполните упражнения, чтобы применить знания о просмотре запущенных про- 
цессов и работе с ними. Задачи подходят для систем Ееога или Кеа Наб Ещегриве 
Тіпих (некоторые сработают и в других системах Глпах). Если затрудняетесь с ре- 
шением заданий, воспользуйтесь ответами к упражнениям, приведенными в при- 
ложении Б (хотя Глпих позволяет решать задачи разными способами). 


1. Перечислите все процессы, запущенные в системе с полным набором столбцов 
информации. Передайте эти выходные данные в команду 1е55, чтобы проли- 
стать список процессов. 


2. Перечислите все процессы, запущенные в системе, и отсортируйте их по имени 
пользователя. 


3. Перечислите все процессы, запущенные в системе, и отобразите следующие 
столбцы информации: идентификатор процесса, имя пользователя, имя группы, 
размер виртуальной памяти, размер резидентной памяти и команда. 


4. Выполните команду Фор, чтобы просмотреть процессы, запущенные в системе. 
Отсортируйте информацию по использованию процессора и потреблению па- 
мяти от большего к меньшему и наоборот. 


5. Запустите процесс веаі+ с рабочего стола. Убедитесь, что запускаете его от име- 
ни пользователя, под которым вошли в систему. Воспользуйтесь окном Ѕуѕіет 
Мопйог (Системный монитор), чтобы завершить этот процесс. 


6. Снова запустите процесс веаіт. На этот раз с помощью команды кі11 отправьте 
сигнал процессу веаї+, чтобы приостановить его. Попробуйте ввести в окно 
сейіт какой-нибудь текст и убедитесь, что он не добавляется. 


7. Используйте команду К111а11, чтобы сообщить команде веі? о приостановке 
(предыдущее упражнение) и продолжить работу. Убедитесь, что набираемый 
в окне вед1+ текст теперь появляется на экране. 


8. 


10. 
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Установите команду хеуе$ (в дистрибутиве Еейога она находится в пакете хогр- 
х11-аррѕ). Выполните команду около 20 раз в фоновом режиме, чтобы на экране 
появилось 20 окон хеуеѕ. Перемещайте мышь и смотрите, как глаза следят за 
указателем. Когда закончите веселиться, завершите все процессы хеуеѕ коман- 
ДОЙ Кі11а11. 

От имени обычного пользователя запустите команду веі так, чтобы она имела 
приоритет 5. 

С помощью команды геп1се измените приоритет команды реаі+ на 7. Исполь- 
зуйте любую команду, чтобы убедиться, что текущее значение приоритета для 
команды реаі+ теперь равно 7. 


Простые скрипты 
оболочки 


В этой главе 


и Работа со скриптами оболочки. 
и Числа в скриптах оболочки. 
и Циклы и команда сазе в скриптах оболочки. 


и Создание простых скриптов. 


В системе Глпих не все процессы, команды которых просто вводятся в интерпрета- 
тор, будут выполняться. И конечно, можно работать эффективнее, сгруппировав 
наборы часто используемых команд. Скрипты оболочки как раз для этого и соз- 
даны. 

Скрипт оболочки — это группа команд, функций, переменных или почти все, 
что можно задействовать из оболочки. Эти элементы помещаются в обычный 
текстовый файл, который затем можно запустить как команду. В тих скрипты 
оболочки традиционно используют для загрузки системы во время запуска, что- 
бы выполнять команды и запускать необходимые службы. Пользователь может 
создавать собственные скрипты оболочки для автоматизации регулярных задач. 

Десятилетиями создание скриптов оболочки было основным навыком, необ- 
ходимым для объединения наборов задач в системах ОМІХ и Гпих. По мере того 
как требования к настройке систем Глпих переставали быть требованиями к одной 
системе и становились сложными конфигурациям автоматизированных кластеров, 
появились более структурированные методы. Эти методы включают в себя АпѕіЫе 
рІаурооКѕ и файлы КиБегпеѓќеѕ УАМТ,, описанные далее в главах, связанных с об- 
лаком. Тем не менее написание скриптов оболочки — по-прежнему наилучший 
способ автоматизации повторяющихся задач в системах Глпих. 

В этой главе дается краткий обзор внутренней работы скриптов оболочки и спо- 
собов их применения. Приводится информация о том, как использовать простые 
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скрипты (например, сгоп или а) для планирования с целью упрощения админи- 
стративных задач или просто запускать по требованию по мере необходимости. 


Скрипты оболочки 


Если у вас есть регулярно повторяющаяся задача с большим количеством текста 
для командной строки, думали ли вы когда-нибудь: «Ох, хотел бы я просто набрать 
одну команду, чтобы сделать все сразу»? Скорее всего, скрипт оболочки — именно 
то, что вам нужно. 

Скрипты оболочки эквивалентны пакетным файлам в \/т4ао\з и могут со- 
держать длинные списки команд, сложное управление потоками, арифметические 
вычисления, пользовательские переменные и функции, а также сложную проверку 
условий. Скрипты оболочки способны обрабатывать все: от простых однострочных 
команд до чего-то столь же сложного, как запуск системы пих. Хотя в пих до- 
ступны десятки различных оболочек, используемая по умолчанию оболочка для 
большинства систем Глпах называется баѕћ (Воигпе Аваш Не). 


Выполнение и отладка скриптов 


Одно ИЗ ОСНОВНЫХ преимуществ скриптов оболочки — МОЖНО открыть их в лю- 
бом текстовом редакторе и посмотреть содержимое. Серьезный недостаток — 
большие или сложные скрипты оболочки часто выполняются медленнее, чем 
скомпилированные программы. Скрипт оболочки выполняется двумя ОСНОВНЫМИ 
способами. 


® Имя файла используется в оболочке в качестве аргумента (как в баѕћ туѕсгірё). 
В этом случае файл не обязательно должен быть исполняемым — он просто 
содержит список команд оболочки. Оболочка, указанная в командной строке, 
применяется для интерпретации команд в файле скрипта. Этим способом часто 
реализуют быстрые простые задачи. 


е В первой строке скрипта оболочки может стоять имя интерпретатора, перед 
которым указаны символы #! (как в #!/61п/базп) и флаг исполнения файла 
с набором скриптов (реализуется с помощью сһтоа +х Ғі1епате). Затем можно 
запустить свой скрипт так же, как и любую другую программу в пути, просто 
введя его имя в командной строке. 


При выполнении скриптов любым способом параметры программы можно 
указать в командной строке. Все, что следует за именем скрипта, называется аргу- 
ментом командной строки. 

Как и при написании любого ПО, нет никакой замены четкому, продуманному 
дизайну и большому количеству комментариев. Знак фунта (#) указывается перед 
комментарием и может занимать целую строку или стоять в строке после кода 
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скрипта. Лучше всего реализовывать более сложные скрипты оболочки постепенно, 
убедившись, что на каждом этапе все работает логично. Вот несколько кратких со- 
ветов, чтобы убедиться, что все работает так, как нужно. 


® В некоторых случаях можно поместить оператор есћһо в начале строки в теле 
цикла и взять его в кавычки. Таким образом вместо того, чтобы выполнять код, 
можно увидеть, что будет выполнено без внесения каких-либо изменений. 


® Для этой же цели можно разместить фиктивные операторы еспо по всему коду. 
Если строки с ними появляются на экране, значит, логика соблюдается. 


® Используйте команду $е* -х в начале скрипта, чтобы отобразить каждую вы- 
полняемую команду или запустить скрипты с помощью: 


$ баѕһ -х музсг1ре 


® Полезные скрипты имеют тенденцию увеличиваться со временем, поэтому 
чрезвычайно важно сохранить код читаемым. Делайте все возможное, чтобы 
логика вашего кода оставалась стройной и понятной. 


Переменные оболочки 


Часто в скрипте оболочки требуется повторно использовать определенные эле- 
менты информации. В процессе обработки скрипта имя или число, несущие эту 
информацию, могут изменяться. Чтобы информация, используемая скриптом 
оболочки, сохранялась такой, которую легко применить повторно, можно задать 
переменные. Имена переменных в скриптах оболочки чувствительны к регистру 
и могут быть определены следующим образом: 


ИМЯ=значение 


Первая часть переменной — это ее имя, а вторая — набор значений для него. 
Убедитесь, что ИМЯ и значение соединены знаком равенства без пробелов. Зна- 
чениями переменных могут быть константы, такие как текст, цифры и символы 
подчеркивания. Это помогает инициализировать значения и экономить текст для 
записи длинных констант. В следующих примерах показаны переменные, заданные 
в виде строки символов (СІТҮ) и числового значения (РІ): 


СІТҮ="5ргіпеғҒіе1а" 
РТ=3.14159265 


Переменные могут содержать выходные данные команды или последователь- 
ности команд. Для этого нужно поставить перед командой знак доллара и открыть 
скобку, а после нее набрать закрывающую скобку. Например, МҮРАТЕ=$ (дае) 
присваивает выходные данные команды дате переменной МҮРАТЕ. То же самое по- 
лучится, если добавить в команду обратные тики (`). В этом случае команда дае 
выполняется при введении переменной, а не при каждом ее чтении. 
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Использование в оболочке специальных символов 


Имейте в виду, что такие символы, как знак доллара ($), обратный тик (`), звездоч- 
ка (*), восклицательный знак (!) и др., имеют особые значения в оболочке. В каких- 
то случаях они нужны, а в каких-то — нет. Например, если набрать еспо $НОМЕ, 
оболочка отобразит на экране имя домашнего каталога, хранящегося в переменной 
$НОМЕ (например, /һоте/сһгіѕ), так как символ $ указывает, что за ним следует имя 
переменной. 


Если в действительности нужно показать текст $НОМЕ, то знак $ следует экранировать. 
Для этого введите еспо'$НОМЕ' или еспо\$НОМЕ. Поэтому, если нужно, чтобы оболоч- 
ка интерпретировала один символ буквально, введите перед ним обратную косую 
черту (\). Чтобы интерпретировать все значение буквально, окружите эти символы 
одинарными кавычками ('). 


С двойными кавычками все немного сложнее. Окружите набор текста двойными 
кавычками, если нужно, чтобы все символы, кроме некоторых, обрабатывались 
буквально. Например, если текст окружен двойными кавычками, знаки доллара ($), 
обратные тики (`^) и восклицательные знаки (!) интерпретируются по-особенному, 
а другие символы (например, *) — как обычно. Введите следующие три строки, чтобы 
получить различные выходные данные (показаны справа): 


есһо ' $НОМЕ * ` дафе` ' $НОМЕ * `ааее` 
есһо "$ФНОМЕ * `дафе`" /поте/сйгт$ * Тие Јап 21 16:56:52 ЕРТ 2020 
есһо ФНОМЕ * `да+е` /Һһоте/сһгіѕ }1[е1 Ще? Тие Зап 21 16:56:52 ЕРТ 2020 


Переменные — отличный способ получить информацию, которая может ме- 
няться от компьютера к компьютеру или изо дня в день. В следующем примере 
выходные данные команды ипате -п присваиваются переменной МАСНІМЕ. Затем 
с помощью скобок я установил параметр №ИМ_ЕТЕЕЗ на нужное количество файлов 
в текущем каталоге с помощью конвейеров (|) и вывел данные команды 15 в команду 
подсчета слов (шс -1): 


МАСНТМЕ=` ипате -п` 
МОМ _ЕТЬЕ$=$ (/61п/1$ | мс -1) 


Переменные могут содержать также значения других переменных, что полезно, 
когда нужно сохранить изменяющееся значение и позже задействовать его в скрип- 
те. В примере далее ВАЕАМСЕ устанавливается в значение переменной СигВа1апсе: 


ВАГАМСЕ="$СигВа1апсе" 


ПРИМЕЧАНИЕ 


При назначении переменных используйте только имя переменной (например, ВАЕАМСЕ). Ссылаясь на значе- 
ние переменной, введите перед ней знак доллара (например, $СигВа!апсе). В таком случае будет задействова- 
но именно значение переменной, а не ее имя. 


192 Часть П • Опытный пользователь Мпих 


Позиционные параметры оболочки 


Существуют специальные переменные, которые назначает оболочка. Набор часто 
используемых символов называется позиционными параметрами аргументов 
командной строки. Они указываются в виде значений $0, $1, $2, $3... $0. $0 — осо- 
бенный, ему присваивается имя, используемое для вызова скрипта, остальным 
присваиваются значения параметров, передаваемых в командной строке, в том 
порядке, в котором они появились. 

Предположим, что скрипт оболочки с именем туѕсгірё содержит: 


#1/біп/баѕћ 

# Ѕсгірі о есһо ои соттапа-11пе агритепіѕ 

есһо "Тһе Ғігѕї агритепе 15 $1, {Пе ѕесопа 1$ $2." 
есһо "Тһе соттапа 1%5е1+ 1$ са11еа $0." 

есһо "Тһеғе аге $# рагатеёегѕ оп уои” соттапа 11пе" 
есһо "Неге аге а11 {Пе агритепіѕ: $0" 


Допустим, что скрипт является исполняемым и находится в каталоге $РАТН, 
тогда вот что произойдет, если запустить эту команду с аргументами #оо и баг: 


$ сһтоа 755 /һоте/сһгіѕ/біп/туѕсгірё 

$ туѕсгірЕ оо Баг 

Тһе Ғігѕ+ агритеп 15 Фоо, Не ѕесопа іѕ Баг. 

Тһе соттапа іёѕе1# 15 са11еа /һоте/сһгіѕ/біп/туѕсгір+. 
Тһеге аге 2 рагатефег$ оп уои" соттапа 1іпе 

Неге аге а11 +һе агритепёѕ: Фоо Баг 


Как видно в примере, позиционный параметр $0 — это полный или относитель- 
ный путь к туѕсгірё, $1 — к оо, а $2 — кбаг. 

Другая переменная, $#, сообщает, сколько параметров было задано в скрипте. 
В этом примере переменная $# будет равна 2. Переменная $@ содержит все аргу- 
менты, введенные в командной строке. Другой специальной переменной оболочки 
является $?, которая получает статус выхода последней выполненной команды. 
Как правило, нулевое значение означает, что команда завершилась успешно, а все, 
что не равно нулю, указывает на ошибку. Полный список позиционных параметров 
оболочки см. в руководстве баѕћ. 


Чтение параметров 


С помощью команды пеаа можно запросить у пользователя информацию и сохра- 
нить ее для последующего использования в скрипте. Пример скрипта с командой 
геаа: 

#1/6іп/баѕћ 


геаа -р "Туре іп ап айјесёіуе, поип апа \мегЬ (раз +епѕе): аај1 поип1 уегЬ1 
есһо "Не ѕірһеа апа $уегьЬ1 +о +һе е1іхіг. Тһеп һе ате Ве $айј1 $поип1." 


В примере после того, как скрипт запросил прилагательное (а4есйуе), суще- 
ствительное (поџп) и глагол (уегЬ), пользователь должен ввести слова, которые 
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затем назначаются переменным а931, поип1 и уегь1. Эти три переменные в даль- 
нейшем добавляются в шутливое предложение скрипта. Если бы скрипт назывался 
ѕ111уѕсгір+, вот как он мог бы работать: 


$ сһтоа 755 /поте/спг1$/61п/$111уз$сг1ре 

$ $111узсг1ре 

Туре іп ап адјесёіуе, поип апа уегЬ (раѕ+ %епзе): һаігу Фоо%Ба11 дапсеа 
Не ѕівһеа апа Чапсед фо {Пе е11х1г. Тһеп һе ае {Пе һаігу Ғооїба11. 


Расширение параметров в Баѕћ 


Как уже упоминалось, если нужно получить значение переменной, перед ней 
следует указать знак $ (например, $СТТУ). На самом деле это просто сокращенное 
обозначение ${СІТҮ}, фигурные скобки используются, когда значение параметра 
не должно отделяться от другого текста пробелом. 


У оболочки Ба$Н есть специальные правила, которые позволяют расширить 


значение переменной различными способами. Конечно, сразу все правила изучить 
нельзя, однако далее представлено несколько общих конструкций, которые встре- 
чаются в скриптах баѕћ. 


${ уар: -значение } — если переменная не задана или пуста, расширяет до значе- 
ния значение. 


${уаг# шаблон} — удаляет кратчайшее совпадение шаблона шаблон от начала 
параметра уаг. 


${уаг##шаблон} — удаляет наибольшее совпадение шаблона шаблон с началом 
параметра оаг. 


${уаг%шаблон} — удаляет кратчайшее совпадение шаблона шаблон до конца 
параметра уаг. 


${уаг*%шаблон} — удаляет наибольшее совпадение шаблона шаблон с концом 
параметра уаг. 


Введите следующие команды из командной оболочки, чтобы проверить, как 


работает расширение параметров: 


$ ТНІЅ="Ехатр1е" 

$ ТНІЅ=${ТНІЅ:-"№Моё 5е*"} 
$ ТНАТ=${ТНАТ: - "№ Ѕе&"} 
$ есһо $ТНТ$ 

Ехатр1е 

$ есһо $ТНАТ 

№1 Ѕе+ 


В приведенных примерах переменная ТНІЅ изначально задается словом Ехатр1е. 


Далее в двух строках переменные ТНІЅ и ТНАТ устанавливаются в свои текущие 
значения или в № Ѕеќ, если они в данный момент не установлены. Обратите 
внимание: поскольку я просто установил ТНІЅ в строку Ехатр1е, при повторе 
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значение ТНІЅ появляется в качестве Ехатр1е. А так как ТНАТ не установлен, то па- 
раметр отображается в виде № + Ѕе+. 


ПРИМЕЧАНИЕ 


Далее в этом разделе показано, как переменные и команды могут отображаться В скрипты оболочки. Чтобы 
опробовать любую из них, просто введите их в оболочку, как показано в предыдущем примере. 


В следующем примере МҮРІГЕМАМЕ имеет значение /поте/41в6у/ту+11е. хе. 
Далее переменная ЕТЬЕ имеет значение му 11е. хе, а ОТВ — значение /поте/91вбу. 
В переменной МАМЕ имя файла сокращается просто до ту 11е, а в переменной 
ЕХТЕМЗТОМ расширение файла устанавливается как х. (Чтобы попрактиковаться, 
введите их в командной строке, как в предыдущем примере, и повторите значение 
каждой переменной, чтобы увидеть, в каком значении она установлена.) Введите 
код, приведенный слева, справа описано его действие: 


© МУРТЕЕМАМЕ=/Поте/91е5у/ту+11е.+х{ — устанавливает значение МУЕТЕЕМАМЕ; 
ЕТ-Е=${МУРТЕЕМАМЕЯ#* / } — ЕТЕЕ присваивается ту+11е.+х*; 
ОТВ=${МУРТЕЕМАМЕХ/*} — ОТК присваивается /һоте/аівру; 

МАМЕ=${ЕТЬЕХ.*} — МАМЕ присваивается ту{11е; 

ЕХТЕМ№ЅІОМ№=${ ЕТЕЕ##*. } — ЕХТЕМЅІОМ присваивается + х*. 


Арифметические операции в скриптах оболочки 


Ваѕһ использует нетипизированные переменные, то есть обрабатывает переменные 
как строки текста, что при желании можно быстро изменить. 

раѕһ задействует нетипизированные переменные, что означает: не обязательно 
указывать, является переменная текстом или числом. Обычно оболочка обрабаты- 
вает переменные как строки текста, поэтому без помощи команды аес1аге перемен- 
ные — просто набор букв для баѕћ. Но если выполнять арифметические действия, 
оболочка стремится преобразовать строки в целые числа. Благодаря этому в баѕћ 
возможна довольно сложная арифметика. 

Арифметика с целыми числами выполняется с помощью встроенной команды 
Іеї, или внешних команд ехрг, или бс. После установки значения переменной 
ВТбМИМ равным 1024 все три следующие команды будут хранить значение 64 
в переменной ВЕЗУТ. Команда бс — это приложение калькулятора, имеющееся 
в большинстве дистрибутивов Глпих. Последняя команда получает случайное число 
в диапазоне от 0 до 10 и возвращает результаты: 


ВІСМ№МОМ=1024 

Іеї КЕЅ0ІТ=$ВІСМОМ/ 16 
КЕЅЏІТ=`ехрг $ВІСМОМ / 16` 
КЕЅ0ІТ=` есһо "$ВІСМОМ / 16" | Ыс” 
Іеї Ғоо=$ВАМООМ; есһо $Фоо 
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Другой способ увеличения значения переменной — использовать $(()) с до- 
бавлением ++ для увеличения значения Т. Введите: 
$ Т=@0е 


$ есһо "Тһе ма1ие оҒ І аР%ег 1псгетепе 1$ $((++І))" 
Тһе уа1ие оф І аҒёег 1псгетеп{ 15 1 


$ есһо "Тһе ма1ие оҒ І Бефоге апа аЁег іпсгетепё 15 $((1++)) апа $1" 
Тһе уа1ие оҒ І Бефоге апа аҒёег 1псгетеп 1$ 1 апа 2 


Повторите любую из этих команд, чтобы продолжить увеличивать значение 
переменной $1. 


ПРИМЕЧАНИЕ 


Большинство элементов в скриптах оболочки имеют относительно свободную форму (где пробелы или отступы 
неважны), тогда как для команд Іеї и ехрг интервалы особенно важны. Команда Іеї требует, чтобы не было пробе- 
лов между каждым аргументом операции (операндом) и математическим оператором, в то время как синтаксис 
команды ехргтребует указания пробелов между каждым операндом и его оператором. В отличие от них команда 
Ьсне зависит от пробелов, но сама по себе сложнее, потому что выполняет вычисления с плавающей запятой. 


Чтобы просмотреть полный список арифметических операций, которые можно 
выполнить с помощью команды 1её, введите һе1р 1е* в командной строке баѕћ. 


Программные конструкции в скриптах оболочки 


Одна из особенностей, которая делает скрипты оболочки максимально полезны- 
ми, заключается в том, что реализуются циклические и условные конструкции, 
аналогичные тем, которые встречаются в более сложных скриптах и языках про- 
граммирования. Вы можете использовать несколько различных типов циклических 
конструкций в зависимости от своих потребностей. 


Конструкция ІЁ...Ёћеп 


Наиболее часто применяемой конструкцией программирования является условное 
выражение с оператором 1+. Оно используется, если нужно, чтобы действия выпол- 
нялись только при определенных условиях. Существует несколько разновидностей 
выражений с 1+ для разных нужд. 

Первый вариант, 1+...Неп, проверяет, присвоено ли параметру МАВТАВИЕ зна- 
чение 1. Если все верно, то команда еспо отобразит результат. Затем оператор 1+ 
указывает, что конструкция 1+ завершена и обработка может быть продолжена: 


\УАВТАВЕЕ=1 

1+ [ $\УАВТАВЕЕ -еа 1 ] ; +һеп 
есһо "Тһе уаг1аб1е 1$ 1" 

+1 
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Вместо -ед можно поставить знак равенства (=), как показано в следующем 
примере. Знак = лучше всего подходит для сравнения значений строк, в то время 
как с помощью ед удобнее сравнивать числа. С помощью оператора е15е можно по- 
вторять слова, если условие конструкции 1+ не выполняется (Ф5ТКІМ№ = "Ег1дау"). 
Имейте в виду, что строки нужно помещать в двойные кавычки: 


ЅТКІМС= "Егіаау" 

1+ [ $5ТВТ№ = "Егідау" ] ; «еп 
есһо "МһооНоо. Ег19дау." 

е15е 

есһо "\111 Ег1Чау еуег веф һеге?" 
11 


Вы также можете изменить вывод, используя восклицательный знак (!). В сле- 
дующем примере, если $ТВТ№  — это не Мопадау, то строка А+ 1еаѕї і 'ѕ пої Мопдау 
повторяется: 


ЅТКІМС= "ЕКІРАҮ" 

1+ [ "$5ТКІМС" != "Мопдау" ] ; &һеп 
есһо "А+ 1еаѕі 1і'5 пої Мопаау" 

1 


В следующем примере конструкция е11+ (что означает е[ѕе №) используется для 
проверки существования дополнительного условия (например, является +11епате 
файлом или каталогом): 


Ғі1епате="ФНОМЕ" 
1+ [ -+ "$+і1епате" ] ; ©һеп 

есһо "$Ғі1епате 1$ а гери1аг +11е" 
е11+ [ -а "%Ғғі1епате" ] ; +һеп 

есһо "$+11епате 1$ а Яігесіогу" 
е15е 

есһо "І һауе по ійеа мһаё $111епате 15" 
#1 

Как видно из предыдущих примеров, тестируемое условие помещается в ква- 
дратные скобки []. Вычисление условия выдает или 0 (выражение истинно), или 1 
(выражение ложно). Обратите внимание на то, что оператор есһо отбивается от- 
ступами. Отступ необязателен и делается только для того, чтобы скрипт был более 
удобочитаемым. 

В табл. 7.1 перечислены условия, которые можно проверить и удобно ис- 
пользовать. (Можно набрать в командной строке һе1р +е$+, чтобы вывести ту же 
информацию.) 


Таблица 7.1. Операторы проверки условий 


Оператор Что проверяет 


-а е Файл существует? (-е проверяет то же) 


-Б Ме Является ли файл частью съемного устройства? 
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Оператор Что проверяет 

-с Ше Является ли символ специальным (например, символьным устройством)? 
Используется для идентификации последовательных соединений 
и терминальных устройств 

-4 Ве Это каталог? 

-е е Файл существует? (-а проверяет то же) 

-Ее Существует ли этот файл и является ли он обычным файлом (например, 
не каталогом, сокетом, каналом, ссылкой или файлом устройства)? 

-5 Ше Установлен ли в файле бит зе этоир 14 (5610)? 

-Һ Ве Является ли этот файл символической ссылкой? (-Г., проверяет то же) 

-К Ве Есть ли в файле набор иску Ме? 

-Г. йе Является ли этот файл символической ссылкой? 

-п $715 Длина строки превышает 0 байт? 

-О Ее Это ваш файл? 

-р е Является ли файл именованным конвейером? 

-г е Можете ли вы просматривать этот файл? 

-5 Не Существует ли этот файл и больше ли он 0 байт? 

-5 Не Существует ли этот файл и является ли он сокетом? 

-Е 9 Подключен ли файловый дескриптор к терминалу? 

-и Не Установлен ли в файле бит зе иѕег іі (5010)? 

№ Ше Можете ли вы переписывать этот файл? 

-х Ше Можете ли вы выполнять этот файл? 

-2 строка Равна ли длина строки 0 (ноль)? 


ехр!1 -а ехрг2 


Верны ли и первое, и второе выражения? 


ехр!1 -о ехрг2 


Верно ли одно из этих двух выражений? 


Не] -пе Ше2 


Первый файл новее, чем второй (используется метка времени модификации)? 


Не] -оё Ше2 


Первый файл старше, чем второй (используется метка времени 
модификации)? 


Не] -еЁ е2 


Связаны ли эти два файла ссылкой (жесткой или символической)? 


уаг1 = уаг2 


Равна ли первая переменная второй? 


уаг1 -ед уаг2 


уаг1 -ве үаг2 


Равна ли первая переменная второй? 


Первая переменная больше второй переменной или равна ей? 


уаг1 -в уаг2 


Больше ли первая переменная, чем вторая? 


уаг -[е уаг2 


Первая переменная меньше второй переменной или равна ей? 


уаг1 -[ уаг2 


Первая переменная меньше второй? 


уаг1 |= уаг2 


Не равна ли первая переменная второй переменной? 


уаг1 -пе уаг2 


Не равна ли первая переменная второй переменной? 
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Существует также сокращенный метод проверки, полезный для простых 
однокомандных действий. В примере далее два конвейера ( | |) указывают, что 
если проверяемого каталога не существует (-а дігпате), то нужно создать его 
(мка1г$$А1гпате): 


# [ +езе ] || асёіоп 

# Выполнить однокомандное действие, если тест неверен. 
аігпате=" /Етр/+ез{а1г" 

[ -9 "$91гпате" ] || мка1г "$аігпате" 


Вместо конвейеров можно использовать два амперсанда и проверить выраже- 
ние. В следующем примере проверяется, содержит ли команда по крайней мере три 
аргумента командной строки: 

# [ +е5% ] && {асЕ1оп} 
# Выполнить однокомандное действие, если тест верен. 
[ $# -ре З ] && есһо "Тһеге аге а 1еаѕё 3 соттапа 1іпе агритепіѕ." 


Можно комбинировать операторы && и | |, чтобы ускорить проверку с помощью 
іҒ. . .©һеп. . .е15е. В следующем примере проверяется, существует ли уже каталог 
$аігпате. Если да, появится сообщение о том, что каталог существует. Если нет, 
конструкция создаст его: 


# а1гпате=туд1гесфогу 
[ -е $дігпате ] && есһо $дігпате а1геайу ехіѕ+ѕ || шКа1г $41гпате 


Команда саѕе 


Часто используется и конструкция с командой саѕе. Подобно оператору м1 св 
в языках программирования, он может заменить несколько операторов 1+. Далее 
приводится общая форма выражения саѕе: 


саѕе "МАВ" іп 
Кеѕи1+1) 
{ роду };; 
Кеѕи1+2) 
{ роду };; 
ж) 
{ роду } ;; 
еѕас 


Помимо прочего, можно использовать команду саѕе, чтобы разобраться с ре- 
зервными копиями. Следующее выражение проверяет первые три буквы текущего 
дня (саѕе 'даёе+%а' іп). Затем в зависимости от дня недели устанавливаются опре- 
деленный каталог резервных копий (ВАСКУР) и носитель (ТАРЕ): 


# Значение \УАВ не обязательно должно быть переменной, 
# оно также может быть выводом команды. 
# Выполняйте действия в зависимости от дня недели 
саѕе `дафе +%а` іп 

"Моп" ) 
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ВАСКУР=/поте/турго]ес&/даа@ 
ТАРЕ=/ае\у/г+Е@ 
# Обратите внимание: используется два знака точки с запятой 
# в конце каждого варианта. 
55 
# Обратите внимание: используется знак | для обозначения варианта ИЛИ. 
"тие" | "Тһи") 
ВАСКУР=/поте/турго]ес+/дата1 
ТАРЕ=/Ае\у/г+Е1 
55 
"меа" | "Егі") 
ВАСКОР=/һоте/тургојесё/аа+а2 
ТАРЕ=/ае\у/г+Е2 
55 
# Не делайте резервные копии в выходные дни. 
*) 
ВАСКУР="попе" 
ТАРЕ=/ дем/пи11 


2) 


еѕас 


Звездочка (*) используется в качестве ключевого слова, аналогичного слову 
деҒаџи1+ в языке программирования С. В этом примере, если ни одна из прочих за- 
писей не сопоставляется на пути вниз по циклу, это делает звездочка, и значение 
ВАСКУР становится попе. Обратите внимание на езас (сазе наоборот) в завершении 
проверки выражения саѕе. 


Цикл #ог...ао 


Циклы применяются для реализации повторяющихся действий до тех пор, пока 
не будет выполнено условие выражения или не обработаны все данные. Чаще всего 
используется цикл +ог. . .40. Он перебирает список значений, выполняя тело цикла 
для каждого элемента в списке. Синтаксис цикла выглядит так: 


Фог МАА іп [15Т 
ао 


{ Боау } 
допе 


Цикл Фог присваивает значения, указанные в [/5Т для ҮАК, по одному за раз. 
Затем для каждого значения выполняется боду, стоящее в фигурных скобках между 
до и допе. МАВ может быть именем переменной, а 115Т — состоять практически из 
любого списка значений или всего, что генерирует список: 


Ғог МОМВЕВ 1п 0123456789 
ао 

есһо Тһе питбег 1$ $МОМВЕК 
аопе 
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Фог ЕЕ іп `/61п/1$` 
ао 

есһо ФЕТЬЕ 
допе 


Вариант с более чистым кодом: 


Ғог МАМЕ іп Јоһп Раи1 Кіпро беогёе ; ао 
есһо ФМАМЕ 15 ту Ғауогіёе Веа&1е 
допе 


Каждый элемент в ЕТ$Т отделен от следующего пробелом. Будьте с этим осто- 
рожны, потому что некоторые команды, такие как 1$ -1, выводят в строке не- 
сколько полей, каждое из которых отделено пробелом. Строка 4опе завершает 
выражение ог. 

Заядлый программист на языке С может использовать его синтаксис для работы 
с циклами: 


ЕТМТТ=10 
# Используются двойные скобки без знака $ в значении ІМІТ, 
# несмотря на то что это переменная! 
Фог ((а=1; а <= ИЛМТТ ; а++)) ; 90 
есһо "фа" 
допе 


Циклы мћ\іІе. ..ао и ип (...40 


Еще два популярных цикла — это мһі1е. ..адо и ипїі1...ӣо. Вот их структуры: 


мһі1е сопаі+іоп ипЕі1 сопаіёіоп 
ао ао 

{ Боау } { Боау } 
допе допе 


Оператор мһі1е выполняется, пока условие выражения истинно. Оператор ипёі1 
выполняется до тех пор, пока условие не станет истинным, другими словами, пока 
оно ЛОЖНО. 

Пример цикла мһі1е для вывода числа 0123456789: 


№е 

мһі1е [ $ -1 10 ] ; дф 
есһо -п $М№ 
1её №=$№+1 

аопе 


Вывод числа 9123456789 с циклом ипЁ11: 


№е 

ипё11 [ $№ -ед 10 ] ; до 
есһо -п $М№ 
1её №=$№+1 


аопе 
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Полезные программы для работы с текстом 


В оболочке Ба$Н есть множество полезных встроенных команд, однако для работы 
с ними обычно требуется помощь. Одни из самых популярных программ — это егер, 
сиё, г, амК и ѕеа. Как и все лучшие инструменты ОМПХ, большинство этих про- 
грамм предназначены для работы со стандартными вводом и выводом и позволяют 
использовать конвейеры и скрипты. 


Синтаксический анализатор 
общих регулярных выражений 


Название «синтаксический анализатор общих регулярных выражений» (5епега| 
гевишаг ехргеѕѕіоп ргіпе (вгер)) звучит устрашающе, но по сути это просто способ 
найти шаблоны в файлах или тексте. Инструмент полезный. Полностью овладеть 
умением работать с регулярными выражениями довольно сложно, но после того, 
как это начнет получаться, можно выполнить множество задач с помощью самых 
простых форм. 

Например, можно отобразить список всех учетных записей обычных пользо- 
вателей, используя вгер для поиска всех строк, содержащих текст /поте в файле 
/еёс/раѕѕма, следующим образом: 


$ ргер /поте /ефс/раз$ма 


Или найти все переменные окружения, начинающиеся с НО, с помощью следу- 
ющей команды: 


$ епу | вгер ^НО 


ПРИМЕЧАНИЕ 


Символ ^ на верхней линии шрифта — это именно символ каретки ^, а не то, что обычно отображается для об- 
ратного пробела, ^Н. 


Введите ^, Ни0 (прописная буква), чтобы увидеть, какие элементы начинаются с прописных символов НО. 


Чтобы увидеть список параметров для команды в5гер, введите тап 5гер. 


Удаление части текста (команда си?) 


Команда сиё извлекает поля из строки текста или файлов. Это полезно при раз- 
делении файлов конфигурации на легко читаемые и понятные фрагменты. Можно 
добавить разделитель полей или разбить строку на байты. 

В следующем примере перечислены все домашние каталоги пользователей в си- 
стеме. Командная строка вгер передает список обычных пользователей из файла 
/ес/раѕѕма и отображает шестое поле (-+6), разделенное двоеточием (-4':'). 
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Дефис в конце дает команде сиё инструкцию читать данные из стандартного ввода 
(из конвейера): 
$ вгер /һоте /еёс/раѕѕма | сиё -4':' -+6 - 


/ћоте/сһгіѕ 
/һоте/јое 


Перевод и удаление символов (команда іг) 


Команда ёг — это символьный переводчик, который используется для замены 
одного символа или набора символов другим или для удаления символа из строки 
текста. 

В следующем примере все прописные буквы переводятся в строчные и в резуль- 
тате выводятся слова в верхнем и нижнем регистрах: 


$ ҒОО="Міхеа УРрЕг аћ№а Гомев сАЅЕ" 
$ есһо $200 | +г [А-2] [а-2] 
смешанные нижний и верхний регистры 


В примере далее команда ё” применяется для переименования файлов в списке 
так, чтобы любые отступы или пробелы в имени файла переводились в подчерки- 
вания, как указано параметром [ :61апк: ]. Попробуйте запустить следующий код 
в тестовом каталоге: 

Фог Ғі1е іп * ; ӣо 

Ғ=`есһо $+11е | +г [:61апк:] [_]` 

[ "ФҒі1е" = "фе" 1] || му -і -- "ФҒі1е" "$" 
опе 


Потоковый текстовый редактор (ѕеа) 


Команда ѕеа — это простой редактор скриптов. Она может выполнять только про- 
стые изменения, например удалять строки по шаблону, заменять один шаблон 
символов другим и т. д. Чтобы лучше понять скрипты ѕеӣ, рассмотрим несколько 
примеров общего применения. 

Можно использовать команду ѕеа для того, чтобы сделать то же самое, что 
и в примере с вгер, — выполнить поиск слова поте в файле /еёс/раѕѕма. В этом 
случае команда ѕеа анализирует весь файл /еёс/раѕѕмӣ, ищет слово поме и печатает 
любую строку с ним: 
$ ѕеа -п '/һоте/р' /еЁс/раѕѕма 


сћгіѕ:х:1000:1000:Сһгіѕ №ериѕ : /һоте/сһгіѕ : /ріп/баѕһ 
јое:х:1001:1001:Јое Ѕті+һ: /һоте/јое: /Біп/баѕһ 


В следующем примере команда ѕеа выполняет поиск файла ѕоте#і1е.хі и за- 
меняет Мас на Ііпих в каждой строке. Обратите внимание: буква в в конце команды 
замены необходима для того, чтобы каждое вхождение Мас заменялось на Е1пих, 
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иначе изменится только первое вхождение Мас в каждой строке. Затем выходные 
данные отправляются в файл Ғіхеа +і1е.+хі. Выходные данные из ѕеа поступают 
в ѕіаӣоиї, поэтому команда перенаправляет их в файл для сохранности: 


$ ѕеа '$/Мас/Ё1пих/=' ѕотеҒі1е.хї > Ғіхеа Ғі1е.іхі 


Можно получить тот же результат, используя конвейер: 


$ саї ѕотеҒі1е.+хі | ѕеа '$/Мас/11пих/в' > Ғіхеа Ғі1е.+хі 


При поиске шаблона и замене его пустым шаблоном исходный удаляется. 
В примере выполняется поиск содержимого файла ѕоте+і1е .хї и лишние пробе- 
лы в конце каждой строки (5/ *$) заменяются на «ничего» (//). Выходные данные 
отправляются в файл Ғіхеа #і1е.іхі: 


$ саї ѕотеҒі1е.+хі | ѕеа '5/ *$//' > Ғіхеа Ғі1е.+іх+ 


Простые скрипты оболочки 


Иногда самые простые скрипты оказываются самыми полезными. Если приходится 
вводить одну и ту же последовательность команд повторно, имеет смысл сохранить 
эти команды (один раз!) в файле. В следующих разделах мы рассмотрим несколько 
простых, но полезных скриптов оболочки. 


Телефонный список 


Эта идея передавалась из поколения в поколение еще со времен хакеров ОМІХ. 
Скрипт действительно довольно простой, но в нем используются некоторые из 
концепций, описанных ранее: 


#1/6біп/баѕћ 

# (@) /рһ 

# А уегу ѕітр1е +е1ерһопе 115+ 

# Туре "рһ пем пате питбег" +о ааа +о һе 115+, ог 
# јиѕё уре "рһ паме" +о ре а рһопе питбег 


РНОМЕГ І5Т=~/ . рһопе11і5&. хі 


# ТЕ по соттапа 1іпе рагатеёегѕ ($#), ЕНеге 
# 15 а ргоб1ет, зо аѕк мпаЕ +Пеу'ге +а1К1пё абои+. 
1 [ $# -16 1 ] ; еп 
есһо "Аһоѕе рһопе питбег 414 уои мапе? " 
ехії 1 
11 


# 014 уои мапЕ +о ааа а пем рһопе питбег? 
1+ [ $1 = "пем" ] ; ©һеп 
$1 
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есһо $%* >> Ф$РНОМЕГІЅТ 
есһо $* аааеа +о а+абаѕе 
ехії ө 

+1 


# М№оре. Вит аоез {Ве +11е һаме апу+һіпе іп 14 уе? 
# Тһіѕ тірһе Бе оиг +1г5{ біте ич$1птв ії, аЁЕег а11. 
1+ [ ! -5 ФРНОМЕГІЅТ ] ; &һеп 

есһо "№ патеѕ іп һе рһопе 115+ уе! 


ехії 1 
е15е 
вгер -1 -а "$*" ФРНОМЕГІЅТ # ОилеЕ1у ѕеагсһ һе +11е 
1+ [ $? -пе Өе ] ; +&һеп # 014 ме Е1па апуёћіпе? 
есһо "Ѕоггу, һа пате маѕ поф Фоипа іп +һе рһопе 115+" 
ехії 1 
е15е 
вгер -1 "$*" ФРНОМЕГІЅТ 
1 
11 
ехії 9 


Итак, если вы создали файл рп со списком телефонов в своем текущем каталоге, 
введите приведенные ниже данные, чтобы проверить его работу: 


$ сһтоа 755 рһ 

$ ./рһ пем "Магу Јопеѕ" 608-555-1212 

Магу Јопеѕ 608-555-1212 аааеа +о даТаБазе 
$ ./рһ Магу 

Магу Јопеѕ 608-555-1212 


Благодаря команде сһтоа скрипт рй становится исполняемым. Команда ./рН за- 
пускает команду рН из текущего каталога с параметром пем. Таким образом имя Магу 
Јопеѕ и номер 608-555-1212 добавляются в базу данных ($НОМЕ/ .рһопе115.хї). 
Далее команда рН ищет в базе данных имя Магу и отображает записанный для него 
телефон. Если скрипт работает, добавьте его в каталог в своем пути (например, 
ФНОМЕ/ біп). 


Скрипт резервного копирования 


Поскольку ничто не вечно и ошибки случаются у всех, резервные копии — это необ- 
ходимость в ходе работы с компьютерными данными. Следующий простой скрипт 
создает резервные копии всех данных в домашних каталогах всех пользователей 
систем Еедога или ВНЕГ: 


#1/6біп/баѕћ 

# (@)/ту Ббаскир 

# А уегу ѕітр1е БасКир ѕсгір+ 
# 


# Сһапре +һе ТАРЕ Яаеуісе фо тафсп уоиг зузфет. 
# Сһеск /маг/1ор/теѕѕареѕ фо дефегт1пе уоиг фаре Яеуісе. 
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ТАРЕ=/ деу/гғЕӨ 


# Кеміпа {Пе аре деу1се $ТАРЕ 

ше ФТАРЕ гем 

# бе а 1151 оф һоте а1гесфог1е$ 

НОМЕ$=`ргер /һоте /еёс/раѕѕма | сиё -#6 -а':'` 
# Васк ир +һе Яа+а іп +һоѕе 41гесфог1е$ 

Тағ суҒ ФТАРЕ $НОМЕЅ 

# Кем1п апа ејес+ {Пе Жаре. 

МЕ $ТАРЕ гемо++1 


Резюме 


Скрипты оболочки дают возможность автоматизировать многие наиболее распро- 
страненные задачи системного администрирования. В этой главе мы рассмотрели 
общие команды и функции, которые можно применять в скриптах с оболочкой 
Базп. Мы также рассмотрели конкретные примеры скриптов для создания резерв- 
ных копий и других процессов. 

В следующей главе мы перейдем от изучения пользовательских функций к из- 
учению тем системного администрирования. Глава 8 описывает, как стать супер- 
пользователем, а также как использовать административные команды, отслеживать 
файлы журналов и работать с файлами конфигурации. 


Упражнения 


Выполните данные упражнения, чтобы попробовать написать простые скрипты 
оболочки. Задачи подходят для систем Еейога или Кеа На Епѓегргіѕе Тлпих (не- 
которые сработают и в других системах Глпих). Если затрудняетесь с решением 
заданий, воспользуйтесь ответами к упражнениям, приведенными в приложении Б 
(хотя лпих позволяет решать задачи разными способами). 


1. Создайте скрипт туомпѕсгір+ в каталоге $НОМЕ/61 п. Скрипт должен будет вы- 
вести информацию, которая выглядит следующим образом: 


Сегодня 5а{ Зап 4 15:45:04 ЕЗТ 2020. 
Вы находитесь в каталоге /һоте/јое и ваш хост-адрес — это аБс.ехатр1е . сот. 


Конечно, у вас будут свои значения даты/времени, текущего рабочего каталога 
и имени хоста. Включите сюда комментарии о работе скрипта и укажите, что 
скрипт должен работать с оболочкой /61п/Базп. 


2. Создайте скрипт, который считывает из командной строки три позиционных 
параметра, присваивает их переменным с именами ОМЕ, ТМО и ТНКЕЕ и выводит 
эту информацию в следующем формате: 


Существует Х параметров, которые включают в себя параметр У. 
Первый — это А, второй — это В, третий – это С. 
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Замените Х количеством параметров, а У — всеми введенными параметрами. 
Затем замените А содержимым переменной ОМЕ, В — содержимым переменной 
ТМО и С — содержимым переменной ТНВЕЕ. 


3. Создайте скрипт, который запрашивает у пользователей названия улицы и го- 
рода, в котором они выросли. Назначьте город и улицу в качестве переменных 
пуёомп и туѕгееї соответственно и выведите их в предложении, как показано 
далее (конечно, вместо $ту{гее{ и $туёомп появятся данные, которые вводит 
пользователь): 


Улица, где я вырос, называется $туѕёгее, а город называется $ муфомп 


4. Создайте скрипт с названием туоѕ, который спросит пользователя: «Какая у вас 
любимая операционная система?» Выведите что-нибудь обидное для тех, кто 
вписывает вариант \/т40о\$ или тасО$5. Для тех, кто укажет Глпих, выведите 
ответ: «Отличный выбор!» Для других вариантов: «А разве <введенный вари- 
аит> — это операционная система?» 


5. Создайте скрипт, который проходит по словам 7005е, со, 5005е и 500 С помощью 
цикла #ог. Подставьте каждое из этих слов в конец строки «У меня есть...». 


Часть Ш 


Администрирование 
системы в Ипих 


В этой части 


Глава 8. Системное администрирование. 
Глава 9. Установка Шпих. 

Глава 10. Управление программами. 

Глава 11. Управление учетными записями. 


Глава 12. Управление дисками и файлами. 


Системное 
администрирование 


В этой главе 


= Инструменты администрирования с графическим 
интерфейсом. 


и Вход в систему в качестве суперпользователя. 


ш Административные команды, файлы 
конфигураций и логов. 


и Работа с устройствами и файловыми системами. 


Операционная система Глпих, как и другие ОМІХ-системы, предназначалась для 
одновременной работы нескольких пользователей. Многопользовательская функция 
позволяет иметь учетные записи разных пользователей в одной системе Глпих, за- 
щищая данные каждого. Многозадачность позволяет одновременно запускать на 
компьютере множество программ, причем каждый пользователь может запускать 
более одной программы. Сложные сетевые протоколы и приложения позволяют 
системе Глпих распространять свои возможности на пользователей сети и компью- 
теры по всему миру. Лицо, которому поручено управлять всеми ресурсами системы 
Тіпих, считается системным администратором. 

Даже если вы единственный, кто использует систему пих, системное адми- 
нистрирование все еще является важной частью настройки компьютера. Для вы- 
полнения большинства административных задач вам необходимо войти в систему 
как пользователь тоо (также называемый суперпользователем) или временно 
получить права гоої (обычно с помощью команды ѕийо). Пользователи без прав 
суперпользователя не могут изменять систему пих, а в некоторых случаях даже 
видеть некоторые сведения о ее конфигурации. В частности, от общего просмотра 
защищены функции безопасности, например сохраненные пароли. 

Поскольку системное администрирование Глпих — это огромная тема, в дан- 
ной главе основное внимание уделяется его общим принципам. Мы рассмотрим 
основные инструменты, необходимые для администрирования системы Глпих для 
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персонального рабочего стола или небольшого сервера. Вы не только усвоите осно- 
вы, но и научитесь работать с файловыми системами и контролировать состояние 
и производительность системы Гіпих. 


Системное администрирование 


Роль системного администратора отделена от роли других пользователей, и это 
придает работе определенные особенности. В системе со множеством пользова- 
телей ограничения в сфере управления позволяют сохранять ее безопасность. 
Наличие администратора также не позволяет другим пользователям нанести вред 
системе, что может произойти, даже если они просто пишут текст в документе или 
просматривают страницы в Интернете. 

Системный администратор системы Глпих обычно входит в систему под про- 
стой учетной записью пользователя, а затем при необходимости запрашивает права 
администратора. Приведу варианты того, как это можно сделать. 


® Команда ѕи. Команда ѕи используется в основном, чтобы открыть оболочки 
от имени суперпользователя. После открытия оболочки администратор может 
запустить множество команд, выйти, а затем вернуться в оболочку под именем 
обычного пользователя. 


® Команда $140. С помощью команды зи4до обычный пользователь получает 
привилегии суперпользователя, но только при использовании команды ѕийо 
для запуска другой команды. После выполнения этой команды с помощью 
зидо пользователь немедленно возвращается в оболочку как обычный пользо- 
ватель. Дистрибутивы ОБипби и Еедога по умолчанию назначают привилегии 
зидо первой установленной учетной записи пользователя. Этого не происходит 
в дистрибутиве КНЕГ, но во время его установки можно присвоить привилегию 
ѕидо первому пользователю. 


е Администрирование серверов с помощью инструмента Соскр!. КНЕТ, Еейога 
и другие дистрибутивы Глпах взяли на себя обязательство применять СосКріё 
в качестве основного браузерного средства администрирования системы. Ин- 
струмент позволяет отслеживать и изменять настройки в основных действиях 
системы, в хранилище, сети, учетных записях, службах и других функциях. 


® Инструменты с графическим интерфейсом. До того как интерфейс Соскри 
стал популярным, КНЕГ,, Еейога и другие дистрибутивы Глпих задействовали 
индивидуальные инструменты администрирования с графическим интерфей- 
сом, которые запускались командами, начинающимися с ѕуѕ&ет- сопҒір -*. 
Большинство этих инструментов администрирования в последних версиях 
ВНЕ! и Еедога не используются. Однако я их упомянул, так как они доступны 
в более старых версиях Глпих. 


Задачи, которые может выполнить только суперпользователь, как правило, за- 
трагивают систему в целом или влияют на ее безопасность или работоспособность. 
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Далее приведен список общих функций, которыми должен управлять системный 
администратор. 


Файловые системы. При первой установке Піпих структура каталогов настра- 
ивается таким образом, чтобы система стала пригодной для использования. 
Однако, если позже пользователи захотят добавить дополнительное хранилище 
или изменить расположение файловой системы за пределами своего домашне- 
го каталога, для этого им понадобятся административные права. Кроме того, 
суперпользователь имеет разрешение на доступ к файлам, которые принад- 
лежат пользователям. Суперпользователь может копировать, перемещать или 
изменять файлы любого другого пользователя — привилегия, необходимая для 
создания резервных копий файловой системы. 


Установка программного обеспечения. Поскольку вредоносное программное 
обеспечение может нанести ущерб системе или сделать ее небезопасной, для 
установки программ необходимы права суперпользователя. К тому же важно 
сделать так, чтобы программное обеспечение было доступно всем пользователям 
системы. Обычные пользователи могут устанавливать лишь некоторые про- 
граммы в собственных каталогах и выводить информацию об установленных 
программах. 


Учетные записи пользователя. Только суперпользователь может добавлять 
и удалять учетные записи пользователей или групп. 


Сетевой интерфейс. Раньше суперпользователь должен был настраивать сете- 
вые интерфейсы, запускать и останавливать их. Сейчас многие настольные ком- 
пьютеры Глпах позволяют обычным пользователям запускать и останавливать 
сетевые интерфейсы со своего рабочего стола с помощью программы Меб\уотК 
Мапазег. Особенно подходит она для беспроводных сетевых интерфейсов, ко- 
торые меняются в зависимости от местоположения ноутбука или устройства 
с Ипих. 


Серверы. Настройка, запуск и остановка веб-серверов, файловых серверов, 
серверов доменных имен, почтовых серверов и десятков других серверов требует 
привилегий суперпользователя. Содержимое, например веб-страницы, могут 
добавить на серверы обычные пользователи, если настройки системы позволя- 
ют. Службы часто запускаются под специальные административные учетные 
записи пользователей, такие как арасћһе (для службы һ++ра) и грс (для службы 
ерсбіпа). Таким образом, если кто-то взломает службу, он не сможет получить 
привилегии администратора для других служб или системных ресурсов. 


Безопасность. Настройка функций безопасности, таких как брандмауэры 
и списки доступа для пользователей, обычно выполняется при наличии прав 
суперпользователя. Кроме того, суперпользователь должен следить за ис- 
пользованием служб и за тем, чтобы ресурсы сервера не исчерпывались и ими 
не злоупотребляли. 
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Самый простой способ начать администрировать систему — применить соот- 
ветствующие инструменты с графическим интерфейсом. 


Инструменты администрирования 
с графическим интерфейсом 


В первых системах Глпих большая часть администрирования осуществлялась из 
командной строки. По мере роста популярности Талпих большинство распростра- 
ненных административных задач обрели графические интерфейсы и интерфейсы 
командной строки. 

В следующих разделах описаны некоторые интерфейсы типа «укажи и щелкни» 
(роїіп-апа-сіісҜ). 


Администрирование с помощью Соскри 


СосЁри — это лучший браузерный инструмент системного администрирования 
Глпих, который я когда-либо видел. Он сочетает в себе целый ряд администра- 
тивных действий и подключается к разнообразному набору функций АРТ пих 
с помощью пакета соскрі+ -ргіаве. Системному администратору пих необходимо 
знать, как применять Соскри для своих нужд. 

Начать работу с Соскріё просто: нужно включить сокет Соскри и подключить 
службу СосКрЁ к браузеру. Благодаря дизайну плагинов СоскрЁ постоянно соз- 
даются новые инструменты, которые можно добавить в интерфейс СосКріё своей 
системы. 

Если вы работаете с последними версиями систем КНЕТ. или Еейога, выполните 
описанные далее действия, чтобы включить и начать использовать Соскрії. 


ПРИМЕЧАНИЕ 


Для запуска этой процедуры не требуется никаких настроек. Однако можно подключить сертификат 0реп551 вме- 
сто применяемого по умолчанию. Таким образом не нужно будет подтверждать непроверенный самоподписан- 
ный сертификат при открытии интерфейса из браузера. 


1. Если программа СоскрЕ еще не установлена, введите: 
# апҒ 1п$%а11 соскрії 
2. Залогиньтесь как суперпользователь и включите сокет Соскри: 


# зузфетсЕ1 епаб1е --пом соскрі+. зосКке* 
Сгеафе ѕут1іпк /еёс/зуз{ета/зу$+ет/зосКке{$ .+агве{.мап{$/соскр1* .зоскКее 
— /ч5г/116/зузфета/ ѕуѕ+ет/ соскрі+.ѕоске+. 
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3. Откройте браузер и перейдите на порт 9090 сервера, на котором установлен 
СоскрЁ. Используйте имя узла или ІР-адрес. Порт 9090 по умолчанию настроен 
для №66рз, при желании его можно перенастроить на Вр. Вот примеры адресов, 
которые нужно ввести в адресную строку браузера: 


ВЕЕр$://Во${1.ехатр1е. сот:9090/ 
ВЕЕр$://192.168.122.114:9090/ 


4. Предположим, что вы не заменили самоподписанный сертификат для Соскри, 
в таком случае браузер предупреждает о том, что соединение небезопасно. 
В зависимости от браузера можно выбрать вариант Адуапсе4 (Дополнительно), 
принять риск и продолжить, чтобы позволить браузеру задействовать службу 
Соскріс. 

5. Введите логин и пароль своей обычной учетной записи. Используйте права 
суперпользователя или пользователя с правами $идо, если хотите изменить кон- 
фигурацию своей системы. Обычный пользователь может видеть большинство 
настроек, но не изменять их. На рис. 8.1 показано окно браузера. 


ФР һхр+//192.168.122.119:9090 .9а 


Епќегргіѕе Шпих 


КЕР НАТ ЕМТЕКРКІЅЕ ЦІМОХ 


а с 
ов іп мі уоог зегиег изег ассошт. 
о ОНИ 


№ е0 ту раѕэкога (ог ргіміевеа (азкѕ 


Рис. 8.1. Вход в Соскріё 


6. Приступайте к работе с Соскри. На панели управления Соскріє содержится 
большой набор функций по умолчанию (другие можно добавить позже) для 
систем КНЕГ и Еедога. На рис. 8.2 показан пример раздела Ѕуѕіет (Система) 
на панели Соскри. 


Сразу же после входа в СосКрі будет показана системная активность, связанная 
с использованием процессора, памяти и подкачки, дискового ввода-вывода и сете- 
вого трафика. Элементы управления на левой навигационной панели позволяют 
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начать работу с журналами, хранилищем, сетевыми учетными записями пользова- 
телей и групп, службами и многими другими функциями системы. 


Рис. 8.2. Просмотр активности системы и других тем с панели управления СоскрЁ 


По ходу книги в соответствующих разделах будут встречаться описания при- 
менения различных функций СосКрії. Чтобы глубже погрузиться в изучение 
программы, я рекомендую зайти на сайт СосКрії: соскрії-ргојесі.ого. 


Утилиты ѕуѕіет-сопћд-* 


До появления СосКріє в системах Еейога и КНЕГ. инструменты с графическим 
интерфейсом были доступны из подменю Аатіпіѕігаіоп (Администрирование) 
в меню Ѕуѕіет (Система) в СМОМЕ 2, с экрана Асіуійеѕ (Обзор) в СМОМЕ З или 
из командной строки. В старых версиях систем Еейога и КНЕТ. можно управлять 
этими инструментами из командной строки, запустив набор команд, начинающихся 
со строки зузет-соп+#1в* (например, зузетм-соп1в-пемогК). 

Инструменты зузет-соп#1в* требуют прав суперпользователя. Если вы вошли 
в систему как обычный пользователь, необходимо ввести пароль гоої до того, как 
откроется окно графического интерфейса пользователя (СОТ), или в некоторых 
случаях до выполнения специального действия. 

Далее описаны многие инструменты с графическим интерфейсом, применявшие- 
ся в более ранних системах Еейога или КНЕГ. (некоторые могут быть доступны 
только в Еейога и не установлены по умолчанию). Команда для включения функ- 
ции показана в скобках (часто она совпадает с именем пакета). В Еедога использо- 
вались следующие инструменты с графическим интерфейсом. 


® Служба Ооташ Маше Зузбет (зузбет-сопйз-ЫМпа). Позволяет создавать и на- 
страивать зоны, если компьютер работает в качестве О№5-сервера. 
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Служба НТТР (зу$бет-сопйз-В ра). Настраивает компьютер под веб-сервер 
Арасће. 

Служба МЕ$ (ѕуѕќет-сопбе-пЁѕ). Настраивает каталоги системы для совмест- 
ного использования с другими компьютерами в сети. 

Служба Кооѓ Раѕѕуога (ѕуѕќіет-сопће-гооѓраѕѕуога). Позволяет сменить 
пароль суперпользователя. 

Служба Ѕатђа МЕ$ (ѕуѕіет-сопбе-ѕатђа). Настраивает общий доступ к фай- 


лам М№іпаоуѕ (ЅМВ). Для настройки других функций Ѕатђа можно задейство- 
вать окно 5ҰАТ. 


До появления ВНЕЕГ 8 в системах Еейога и ВНЕГ были доступны следующие 


инструменты с графическим интерфейсом. 


Службы (Ѕегуісеѕ) (зузбет-сопйя-зегу1сез). Отображение и изменение запу- 
щенных в системе Еейога служб на разных уровнях выполнения в окне Ѕегуісе 
СопйдигаНоп (Настройка служб). 


Аутентификация (Аиеписайоп) (ѕуѕќет-сопбе-аиепііїсайоп). Изменение 
способа аутентификации пользователей в системе. Как правило, выбираются 
теневые пароли и пароли МО5. Однако, если ваша сеть поддерживает аутен- 
тификацию Г.ЛАР, Кегђегоѕ, 5МВ, М5 или Нез1о4, можете выбрать любой из 
этих типов аутентификации. 


Дата и время (Оае & Типе) (зузбет-сопЯ5-4а&е). Установка даты и времени 
вручную или синхронизация системного времени с сервером МТР. 
Брандмауэр (Еше\ма|) (зузет-сопйя-Вге\ма). Настройка брандмауэра, кото- 
рая разрешает или запрещает службам доступ к компьютерам из сети. 


Язык (Тапбиазе) (зузбет-сопйя-[апзиасе). Установка для системы языка по 
умолчанию. 


Печать (Ргіпііпе) (ѕуѕќет-сопбе-ргіпќег). Настройка локальных и удаленных 
принтеров. 


Управление ЗЕГлпих (ЗЕГлпих Мапаветепі) (ѕуѕѓќет-сопбе-ѕеіпих). Уста- 
новка режимов принудительного использования 5Е пих и политики по умол- 
чанию. 


Пользователи и группы (Оѕегѕ & Сгоирѕ) (ѕуѕіет-сопбе-иѕегѕ). Добавление, 
отображение и изменение учетных записей пользователей и групп системы 
Еедога. 


Другие административные утилиты собраны в меню Арріісайопѕ (Приложения) 


на верхней панели. Выберите пункт Ѕуѕіет Т00/ (Системные утилиты) в СМОМЕ 2 
или перейдите в меню Асіуііеѕ (Обзор) в СМОМЕ 3, чтобы выбрать один из при- 
веденных далее инструментов (если они установлены). 


Пакет Сопбеигабіоп Ейіќог (всопѓ-ейіог). Позволяет редактировать базу дан- 
ных настроек СМОМЕ. 
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ө Программа ПіК Озасе Апа|утег (5поте-и 5). Отображает подробную инфор- 
мацию о жестких дисках и съемных устройствах хранения. 


е Программа О15К Ойу (епоте-іѕКѕ). Управляет разделами диска и добавляет 
файловые системы (пакет рпоте-4іѕК-ибі1і+у). 


® Инструмент Кіскѕќагё (ѕуѕќет-сопбе-КкісКкѕ(агі). Создает файл конфигурации 
кіскѕ%аг?, который можно использовать для установки нескольких систем 
Тлпих, не взаимодействуя с пользователем. 


В предыдущих изданиях книги приводились описания данных инструментов. 
Теперь они заменены функциями программы СосКріё. 


Другие браузерные 
инструменты администрирования 


Чтобы упростить управление многими корпоративными проектами с открытым 
исходным кодом, стали применять браузерные инструменты с графическим ин- 
терфейсом. В большинстве случаев управлять такими проектами можно также 
с помощью инструментов командной строки. 

Например, в дистрибутиве Кеа Наї Епќегргіѕе Ііпих существуют браузерные 
интерфейсы для управления следующими проектами. 


өе Кей На ОрепЅ. Проект Ореп5/1/, основанный на проекте Киђегпеѓеѕ, за- 
действует браузерный интерфейс для развертывания и настройки кластеров 
уровней управления и рабочих узлов, а также развертывания контейнеров в так 
называемых общих контейнерах роа. Больше информации — на сайтах Кеа Наё 
ОрепѕЅ (орепѕһі.сот) и ОКР” (ока.іо). 


е Ке4НаЕ Ещегризе Глпих ОрепЅѓасК РІаіѓогт (КНЕГОЅР). Проект ОрепЅѓаск 
является платформой как услугой (РІайогт аѕ а Ѕегуісе, РааЅ) и позволяет 
управлять собственным частным облаком через браузер. Включает в себя панель 
мониторинга Ореп${асК из проекта ОрепЅѓаск Ногілхоп (һогігопаосѕ.орепѕїаск.ого/ 
һогігоп/Іаќеѕі). Интерфейс позволяет запускать виртуальные машины и управлять 
ими, а также всеми ресурсами вокруг них: хранилищем, сетью, аутентифика- 
цией, распределением ресурсов обработки и т. д. В главе 27 описана работа 
с панелью мониторинга ОрепЅѓаск. 


е Ке4 Наё Уптаа[тайоп (КНУ). С помощью КНЕУ менеджер КНУ применяет 
браузерный интерфейс для управления виртуальными машинами, включая 
работу с хранилищем и доступ пользователей к ресурсам. Многие браузерные 
инструменты администрирования с графическим интерфейсом доступны в про- 
ектах с открытым исходным кодом. Новичку в Глпах проще начать работу с этих 
интерфейсов. Однако имейте в виду: чтобы устранить неполадки, нужно исполь- 
зовать инструменты командной строки, потому что функционал инструментов 
с графическим интерфейсом в этой области ограничен. 
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Учетная запись суперпользователя 


В каждой системе пих есть как минимум одна учетная запись администратора 
(суперпользователя) и, вероятно, одна и более учетных записей обычных поль- 
зователей (с именем, выбранным вручную или назначенным дистрибутивом 
Глпих). В большинстве случаев вы входите в систему как обычный пользователь 
и становитесь суперпользователем для выполнения конкретной административ- 
ной задачи. 

Суперпользователь полностью контролирует систему Глпих. Он может откры- 
вать любые файлы и запускать любые программы. Он также устанавливает пакеты 
с программным обеспечением и добавляет учетные записи для тех, кто использует 
систему. 


СОВЕТ 


Суперпользователь в Ипих по функционалу похож на администратора в М/іпаоухѕ. 


При первой установке большинства систем Глпиах (хотя и не всех) для супер- 
пользователя устанавливается пароль. Запомните его и не сообщайте никому: он 
нужен для входа в систему от имени суперпользователя или для получения прав 
суперпользователя, если вы находитесь в системе с другой учетной записью. 

Чтобы ознакомиться с учетной записью суперпользователя, просто войдите 
в систему под его именем. Советую делать это с помощью виртуальной консоли. 
Нажмите сочетание клавиш СіІ+АЇЌ+ЕЗ. Когда появится приглашение для входа, 
введите гоо, нажмите клавишу Епќег и наберите пароль. Система запустится под 
именем суперпользователя. По окончании введите ехії, затем нажмите сочетание 
клавиш СіІ+АЌ+Р1, чтобы вернуться в режим обычного пользователя. 

Домашний каталог для пользователя с правами гоо — это каталог /гоої. 
Домашний каталог и информация, связанная с учетной записью суперпользова- 
теля, находятся в файле /еёс/раѕѕма. Вот как выглядит корневая запись в фай- 
ле /еёс/раѕѕма: 


гоо :х:0:0:гооЁ: /гооЁ : /біп/баѕћ 


Это значит, что для пользователя с именем гоо* идентификатор пользователя 
(суперпользователя) равен 0, идентификатор группы (корневая группа) равен 6, 
а домашний каталог /гоо* и оболочка для данного пользователя — это /61п/Ба$Н. 
(Глпих использует файл /еёс/ ѕһайом для хранения зашифрованных данных пароля, 
поэтому в поле пароля здесь стоит х.) Можно изменить домашний каталог или обо- 
лочку, изменив значения в этом файле. Однако лучший способ сделать это — взять 
команду изегто4 (дополнительную информацию см. в подразделе «Изменение 
пользователей с помощью команды изегто4» в главе 11). 

На этом этапе любая команда, выполняемая из оболочки, реализуется с правами 
гооѓ, поэтому будьте осторожнее, так как у суперпользователя гораздо больше воз- 
можностей изменить (и повредить) систему, чем у обычного. По окончании введите 
команду ехі+. Если вы задействуете виртуальную консоль с интерфейсом рабочего 
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стола из другой консоли, нажмите сочетание клавиш С+АЕ+Е1, чтобы вернуться 
к графическому экрану входа в систему. 


ПРИМЕЧАНИЕ 


В ИБипци по умолчанию пароль для учетной записи суперпользователя не установлен. Это означает, что, даже если 
учетная запись существует, вы не можете войти с ее помощью или использовать команду и, чтобы стать супер- 
пользователем. Таким образом Џбипќи обеспечивает дополнительную безопасность. Чтобы выполнить команду 
от имени суперпользователя, необходимо применять команду 5и4о перед каждой командой. 


Суперпользователь из оболочки (команда ѕи) 


Можно стать суперпользователем, войдя в систему под соответствующей учетной 
записью, однако иногда это не очень удобно. 

Например, когда из учетной записи обычного пользователя вы хотите быстро 
внести изменения в систему и при этом не выполнять манипуляции с входом- 
выходом из нее. Или, к примеру, вам требуется войти в систему по сети, чтобы 
изменить в ней что-то, но система не позволяет суперпользователям входить по 
сети (обычная практика для защищенных систем Глпих). Для подобных ситуа- 
ций есть решение — команда ѕи. В любом окне терминала или оболочки введите 
следующее: 
$ ѕи 


Раѕѕмога: ****** 
# 


Когда отобразится приглашение командной строки, введите пароль супер- 
пользователя. Приглашение обычного пользователя ($) станет приглашением 
суперпользователя (#). Теперь у вас есть полный доступ к запуску любых команд 
и файлов системы. Тем не менее при таком способе команда ѕи не позволяет вы- 
полнить чтение данных в среде пользователя гоої. То есть можно ввести существу- 
ющую и доступную команду, но получить сообщение о том, что она не найдена 
(" Соттапа Мо Еоипа"). Чтобы исправить это, введите вместе с командой параметр 
с дефисом (-): 
$ ви - 

Раѕѕмопа: ****** 
# 


Понадобится ввести пароль, но после этого все, что обычно происходит при 
входе в систему для суперпользователя, произойдет и здесь. Текущий каталог 
будет домашним каталогом гоо® (вероятно, /гоо+), и станет применяться перемен- 
ная РАТН суперпользователя. Если вы становитесь суперпользователем с помощью 
команды сч, а не зи -, каталоги и окружение текущего сеанса не меняются. 

Можно использовать эту команду и для того, чтобы залогиниться в каче- 
стве другого пользователя. Это полезно для устранения неполадок, с которыми 
сталкивается конкретный пользователь (например, не может печатать или 
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отправлять письма). Так, чтобы получить права пользователя с именем јѕті+ћ, 
необходимо ввести: 


$ зи - јѕті+һ 


Даже если вы были суперпользователем до ввода этой команды, после этого 
у вас будут только права на открытие файлов и запуск программ, доступные для 
јѕтієһ. Однако вам, как суперпользователю, после ввода команды ѕи, чтобы стать 
другим пользователем, не нужно вводить его пароль для продолжения. Если же вы 
вводите эту команду как обычный пользователь, то должны набрать пароль нового 
пользователя. 

Закончив задействовать права суперпользователя, вернитесь к предыдущей обо- 
лочке, выйдя из текущей. Для этого нажмите сочетание клавиш С или введите 
ех1*. Если вы администратор доступного нескольким пользователям компьютера, 
не оставляйте свою оболочку открытой на чужом экране, если не хотите, чтобы 
человек случайно или намеренно повредил систему. 


Административный доступ 
через графический интерфейс 


Как упоминалось ранее, когда инструменты с графическим интерфейсом запу- 
скаются от имени обычного пользователя (в Ее4ога, Кеа Наё Ещегри!зе Глпих или 
других системах Глпих), необходимо ввести пароль суперпользователя, чтобы 
получить к ним доступ. Пароль суперпользователя дает привилегии при выпол- 
нении задач. 

В системах Глпах с рабочим столом СМОМЕ 2 после ввода пароля на верхней 
панели появляется желтый значок, указывающий, что авторизация суперпользо- 
вателя по-прежнему доступна для запуска других инструментов с графическим 
интерфейсом в текущем сеансе. Для систем с рабочими столами СМОМЕ 3 не- 
обходимо вводить пароль суперпользователя каждый раз при запуске любого из 
инструментов настройки системы ѕуѕ&ет-соп+ір. 


Административный доступ с помощью команды ѕиао 


Определенные пользователи могут получить административные права для опре- 
деленных задач, набрав команду ѕийо, а затем команду, которую нужно запустить, 
и все это без ввода пароля суперпользователя. Файл зидоег5 — самый популярный 
способ предоставления прав любым пользователю или группе. С его помощью 
можно: 


® назначить права доступа администратора любой группе командой ѕиао; 


® назначить права доступа администратора для набора команд; 


® дать пользователям права доступа, но без передачи пароля — им нужно ввести 
собственный пароль; 
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® разрешить пользователям запускать зидо вообще без ввода пароля (по желанию); 


® отследить, какие пользователи выполняли административные команды в вашей 
системе. (Команда ѕи сообщает, что кто-то зашел с паролем суперпользователя 
в систему, а как команда зиао регистрирует, какой пользователь запускает ад- 
министративную команду.) 


Функция ѕийоегѕ предоставляет полные или ограниченные права доступа лю- 
бому пользователю, добавляя его в файл /еёс/ѕийоегѕ. Администратор определяет, 
какие права может иметь данный пользователь. Затем последний может выполнить 
любую команду, на которую он имеет права, введя перед ней команду ѕиао. 

Рассмотрим пример применения пользователем по имени јое команды зчи9до, 
которая передает ему все права администратора. 


СОВЕТ 


Файл зидоег$ в Џбипќи по умолчанию дает права начальному пользователю в системе и привилегии членам груп- 
пы ѕидо. Чтобы предоставить другому пользователю такие же привилегии, просто добавьте дополнительного 
пользователя в группу администратора, запустив команду үіѕидо. 


1. Как суперпользователь измените файл /еёс/ѕийоегѕ, выполнив команду \1$и9о: 
# /иѕг/ѕріп/міѕидо 


По умолчанию файл открывается в редакторе уі, если только переменная ЕОТТОВ 
не установлена для другого редактора, подходящего для команды \15и90 (на- 
пример, ехрогї Е”РІТОК=реаі+). Команда \15и4до блокирует файл /еЕс/зиаоег$ 
и выполняет базовую проверку файла, чтобы убедиться, что он был отредакти- 
рован правильно. 


ПРИМЕЧАНИЕ 


Если возникли затруднения, запустите команду мииюг, чтобы ознакомиться сруководством для редакторов м и уіт. 


2. Добавьте следующую строку, чтобы дать пользователю ое полные права супер- 
пользователя: 


Зое АШ = (АШ) АШ 
Пользователь јое должен ввести собственный пароль, чтобы применить адми- 


нистративные команды. Чтобы дать јое все права без использования пароля, 
введите вместо приведенной ранее строки следующее: 


јое АШ = (АШ) МОРАЗЗИЮ: АЫ 
3. Сохраните изменения в файле /еёс/ѕидоегѕ (в уі введите Еѕс, а затем :ма). Далее 


приведен пример сеанса пользователя јое после того, как ему были назначены 
привилегии с помощью команды $490: 


[Јое]$ ѕидо +оисһ /тпЕ/еѕ+Ғі1е.+хё 
Ме Єгиѕ+ уои һауе гесеіуеа +һе иѕиа1 1есфиге 
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Ғгот {Пе 1оса1 Ѕуѕёет Аатіпіѕёгаог. ІЁ иѕиа11у 
роі15ѕ аомп +о Безе Емо Ёһіпеѕ: 
#1) КезресЕ {Ве рг1уасу оф оЁһегѕ. 
#2) Тһіпк Бефоге уои +уре. 
Раѕѕмога: ЖЖЖЖЖЖЖЖЖ 
[3ое]$ 15 -1 /тпЕ/+еѕ+Ғі1е.іх+ 
-ги-г--г--. 1 гоо гоо 9 Зап 7 08:42 /тпЕ/езЕ+11е. хі 
[50е]% гм /тпЕ/+еѕ+Ғі1е.х+ 
гт: саппоё гетоме ' /тпЕ/Ееѕ&+1і1е.хЕ': Регтіѕѕіоп 4еп1еа 
[3ое]$ ѕидо гт /тпЕ/ех+Ғі1е. х 
[3ое]$ 


В этом сеансе пользователь јое запускает команду ѕиао, чтобы создать файл 
(/тпЕ/ехЕ+11е.+х{) в каталоге, для которого у него нет прав на запись. Появляется 
диалоговое окно предупреждения, после которого нужно ввести пароль (пароль 
пользователя јое, а не пароль администратора). 

Даже после того, как пользователь јое ввел свой пароль, он все равно должен при- 
менять команду ѕидо для запуска последующих административных команд от име- 
ни суперпользователя (то есть команда гт даст сбой, а вот зидо гт будет выполнена). 
Обратите внимание на то, что для второй команды ѕидо пароль не запрашивается. 
Дело в том, что в системах ВНЕГ. и Еейога после ввода пароля можно использовать 
команду зидо в течение пяти минут, не вводя его снова. В ОБипа такое не срабо- 
тает, если не изменить период времени до нужной продолжительности, установив 
другое значение переменной раѕѕма_ёіпеои+ в файле /еёс/ ѕийоегѕ. 

В предыдущем примере пользователю дое права предоставляются по типу «все 
или ничего». Однако файл /еёс/ѕийоегѕ очень гибкий и позволяет пользователям 
и группам работать с отдельными приложениями или группами приложений. Обра- 
титесь к справочным страницам зидоег$ и зцао, чтобы узнать, как их настроить. 


Административные команды, файлы 
конфигурации и файлы журналов 


Множество команд, файлов конфигурации и файлов журналов находятся в одних 
и тех же местах файловой системы независимо от используемого дистрибутива. 
В следующих разделах рассмотрим, как найти эти важные элементы системы. 


ПРИМЕЧАНИЕ 


Если инструменты администрирования с графическим интерфейсом так хороши, зачем нужно знать об админи- 
стративных файлах? Во-первых, инструменты с графическим интерфейсом различаются в зависимости от версии 
Шпих, а вот многие базовые файлы конфигурации одинаковы в любом дистрибутиве. Так что если научиться обра- 
щаться сними, то можно работать практически слюбой системой Ипих. Кроме того, если функция сбоит или нужно 
сделать что-то не поддерживаемое графическим интерфейсом, специалисты пих практически всегда советуют 
запускать команды или непосредственно изменять файл конфигурации. 
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Административные команды 


Только суперпользователь может задействовать административные команды. 

Когда вы входите в систему как суперпользователь (или с помощью команды 
5и — ИЗ оболочки), переменная $РАТН открывает каталоги с командами для адми- 
нистратора. Раньше они включали в себя следующие каталоги: 


© /561п — изначально содержал команды, необходимые для загрузки системы, 
включая команды для проверки файловых систем (#ѕск) и включения устройств 
подкачки (ѕмароп); 


Ф /иѕег/ѕріп — изначально содержал команды для управления учетными за- 
писями пользователей (например, изегада) и проверки процессов, которые 
удерживали файлы открытыми (например, 150+). Здесь же содержатся команды, 
выполняемые как демоны. Демон-процессы (4аетоп) — это процессы, которые 
выполняются в фоновом режиме, ожидая запроса служб, например доступ 
к принтеру или веб-странице. (Поищите команды, которые заканчиваются на а, 
например ѕ5һа, ррра, и сирѕа.) 


В последних версиях ОБипша, ВНЕГ и Еедога все административные команды 
из этих двух каталогов хранятся в каталоге /и$г/$61п, символически связанном 
с / 561 п. Кроме того, в переменную РАТН суперпользователя добавляется только 
/иѕг/ѕбіп, как и в переменную РАТН всех обычных пользователей. 

Некоторые административные команды содержатся в каталогах обычных пользо- 
вателей, таких как /Біп и /иѕг/Біп. Обычно это команды, у которых есть доступные 
для всех параметры. Например, команду /Біп/тоипё любой пользователь может 
задействовать для перечисления смонтированных файловых систем, но только су- 
перпользователь — для самого монтирования файловых систем. (Однако некоторые 
компьютеры предназначены для того, чтобы обычные пользователи могли применять 
команду тоип+ для монтирования СО, Рур или других съемных носителей.) 


ПРИМЕЧАНИЕ 


Руководство по монтированию файловой системы см. в главе 12. 


Чтобы найти команды, предназначенные в первую очередь для системного ад- 
министратора, ознакомьтесь с разделом 8 справочных страниц (в каталоге /иѕг/ 
ѕһаге/тап/тап8). В нем содержатся описания и параметры большинства админи- 
стративных команд Глпих. Чтобы добавить команды в свою систему, попробуйте 
сохранить их в каталоги, например, /иѕг/1оса1/біп или /иѕг/1оса1/5ѕбіп. Неко- 
торые дистрибутивы Глпих автоматически добавляют эти каталоги в переменную 
РАТН, обычно перед стандартными каталогами біп и $61 п. Таким образом, команды, 
установленные в этих каталогах, не только доступны, но и могут переопределять 
команды с тем же именем в других каталогах. Некоторые сторонние приложения, 
не входящие в состав дистрибутивов Глпих, иногда помещаются в каталоги /иѕг/ 
Іоса1/біп, /оре/Ь1т или /и5г/1оса1/ $61 п. 
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Файлы конфигурации 


Файлы конфигурации — это еще одна основа администрирования Глпих. Почти 
все настройки конкретного компьютера — учетные записи пользователей, сетевые 
адреса или предпочтения графического интерфейса — сохраняются в текстовых 
файлах. Это и преимущество, и недостаток. 

Преимущество обычных текстовых файлов заключается в том, что их легче 
читать и редактировать. Подойдет любой текстовый редактор. Недостатком же 
является то, что при редактировании файлов конфигурации проверка ошибок 
обычно не выполняется. Иногда нужно запустить программу, которая прочитает 
эти файлы (например, сетевой демон или рабочий стол Х), чтобы узнать, правиль- 
но ли они настроены. 

Некоторые файлы конфигурации применяют стандартные структуры, напри- 
мер ХМГ, для хранения информации, но большинство этого не делает. Поэтому 
нужно изучить конкретные структурные правила для каждого конфигурационного 
файла. Запятая или кавычка в неправильном месте иногда может привести к сбою 
всего интерфейса. Проверить правильность структуры многих файлов конфигура- 
ции можно множеством способов. 

В некоторых пакетах программного обеспечения есть своя команда для про- 
верки работоспособности файла конфигурации перед запуском службы. Например, 
команда +еѕёрагт используется на сервере Ѕатђа для проверки работоспособности 
файла ть .соп+. В других случаях проверить файл конфигурации может демон- 
процесс. Например, запустите команду НЕра-+, чтобы проверить конфигурацию 
веб-сервера Арасћһе перед его запуском. 


ПРИМЕЧАНИЕ 


Отдельные текстовые редакторы, например үіт (но не мї), понимают структуры некоторых типов файлов конфи- 
гурации. Если открыть такой файл в міт, то различные элементы файла будут отображаться разными цветами. 
В частности, строки с комментариями будут отличаться по цвету от строк с данными. 


В этой книге есть описания конфигурационных файлов, необходимых для 
настройки различных функций систем іпих. Два основных места расположения 
файлов конфигурации — это домашний каталог, где хранятся личные файлы 
конфигурации, и каталог /ес, в котором хранятся общесистемные файлы кон- 
фигурации. 

Далее приведены описания каталогов и подкаталогов, содержащих полезные 
файлы конфигурации. За описаниями следуют особенно интересные отдельные 
файлы, находящиеся в файле /еёс. Изучение содержимого таких файлов позволяет 
хорошо разобраться в том, как работает администрирование систем Глпих. 


© ЗНОМЕ — все пользователи хранят в своих домашних каталогах информацию, 
которая определяет, как ведут себя их учетные записи. Многие файлы конфи- 
гурации хранятся непосредственно в домашнем каталоге каждого пользователя 
(например, в /һоте/јое) и начинаются с точки (.), поэтому не появляются 
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в каталоге при использовании стандартной команды 15 (для их просмотра не- 
обходимо ввести 15 -а). Аналогично точечные файлы и каталоги по умолчанию 
не отображаются в большинстве окон менеджера файлов. Существуют точечные 
файлы, которые определяют поведение оболочки каждого пользователя, внеш- 
ний вид рабочего стола и параметры текстового редактора. Есть даже файлы, 
которые находятся в каталоге $НОМЕ/ . ѕ5ћ каждого пользователя и настраивают 
права для входа в удаленные системы. (Чтобы увидеть имя своего домашнего 
каталога, введите команду есһо $НОМЕ из оболочки.) 


/еёс — этот каталог содержит большинство основных файлов конфигурации 
системы Шпих. 


/еёс/сгоп* — содержат файлы, определяющие, как команда сгопа запускает 
приложения ежедневно (сгоп.да11у), ежечасно (сгоп.һоиг1у), ежемесячно 
(сгоп.мопЕН1у) или еженедельно (сгоп.меек1у). 


/еєс/сирѕ — содержит файлы для настройки службы печати СОР. 


/еёс/аеҒаџ1+ — содержит файлы, устанавливающие значения по умолчанию 
для различных утилит. Например, файл для команды иѕегааа определяет но- 
мер группы по умолчанию, домашний каталог, срок действия пароля, оболочку 
и каталог шаблонов (/еёс/ѕке1), используемый при создании новой учетной 
записи пользователя. 


/еЕс/ПЕЕра — содержит множество файлов для настройки поведения веб-сервера 
Арасће (в частности, демона һ++ра). (В ОБипёи и других системах Глпах вместо 
него применяется файл /еёс/арасће или /еёс/арасћһе2.) 


/ес/таі1 — содержит файлы для настройки почтового агента зепдта11. 
/еЕс/розЕ1х — содержит файлы конфигурации для агента роѕ+іхтаі1. 


/ефс/ррр — содержит несколько конфигурационных файлов для настройки 
протокола «точка — точка» (Роіпіё-со-Роіпі Ргофосо|, РРР) при подключении 
компьютера к Интернету. (РРР чаще всего использовался, когда были широко 
распространены модемы.) 


/ефс/гс?.а — существует отдельный каталог гс?.4 для каждого допустимого 
состояния системы: гсө.а (выключенное), гс1.а (однопользовательское), гс2.4 
(многопользовательское), гс3.4 (многопользовательское плюс сетевое), гс4.4 
(пользовательское), гс5 .а (многопользовательское, сетевое плюс графический 
интерфейс входа) и гсб.4 (состояние перезагрузки). Эти каталоги поддержива- 
ются для совместимости со старыми службами инициализации ОМІХ бузбет\У. 


/еїс/ѕесигі+у — содержит файлы, которые устанавливают различные условия 
безопасности по умолчанию для компьютера, в основном определяя, как вы- 
полняется аутентификация. Эти файлы — часть пакета подключаемых модулей 
аутентификации рат (рІивваЫе аиВеписайоп тойшеѕ). 


/ес/ѕке1 — все файлы, содержащиеся в этом каталоге, автоматически ко- 
пируются в домашний каталог пользователя при добавлении этого пользо- 
вателя в систему. По умолчанию большинство этих файлов точечные (.), 
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например кае (каталог для настройки параметров рабочего стола КПЕ по умол- 
чанию) и БазЙгс (каталог для установки значений по умолчанию, применяемых 
с оболочкой баѕћ). 


/еїс/ ѕуѕсопҒів — содержит важные файлы конфигурации системы, которые 
создаются и поддерживаются различными службами, включая +1гема114, ѕатба 
и большинство сетевых служб. Эти файлы важны для дистрибутивов Глпих, 
таких как Еедога и КНЕГ, которые задействуют инструменты администри- 
рования с графическим интерфейсом, совершенно не используемые в других 
системах пих. 


/е{с/зузфета — содержит файлы, связанные с командой зуз%емта, которая управ- 
ляет процессом загрузки и системными службами. В частности, при запуске 
команды зузетсе1 файлы включения и отключения служб хранятся в подка- 
талогах каталога /е*с/зузфета зуз{ет. 


/еёс/хіпеа.а — содержит набор файлов, каждый из которых определяет 
сетевую службу по требованию, которую демон хіпе+а прослушивает через 
определенный порт. Когда демон хіпе+а получает запрос на включение службы, 
он использует информацию, содержащуюся в этих файлах, чтобы определить, 
какие процессы следует запустить для обработки запроса. 


Далее приведены интересные файлы конфигурации, находящиеся в ката- 


логе /е+с. 


а1іаѕеѕ — может содержать списки рассылки для почтовых служб [іпих. 
(В ОЬипёи этот файл находится в файле /еёс/таі1 после установки пакета 
ѕепатаі1.) 


Базпгс — устанавливает общесистемные значения по умолчанию для пользо- 
вателей оболочки БазН. (В некоторых дистрибутивах Глпих может называться 
Баз .Базвгс.) 


сгопфаб — задает время выполнения автоматических задач и переменных, свя- 
занных с функцией сгоп (например, $НЕШ или РАТН). 


с$Н. с$Нгс (или сѕһ“с) — устанавливает общесистемные значения по умолчанию 
для пользователей оболочки сѕћ (оболочка С). 


ехрогіѕ — содержит список локальных каталогов, доступных для совместного 
применения удаленными компьютерами с помощью сетевой файловой системы 
(МЕБ). 

Ғѕ+аь — определяет устройства для носителей информации (жесткий диск, 
Рур, СО-КОМ ит. д.) и места их установки в системе [іпих. Используется 
командой тоип для выбора того, какие файловые системы монтировать при 
первой загрузке системы. 


вгоир — назначает имена групп и их идентификаторы (ві), определенные в си- 
стеме. Групповые права в Глпих определяются вторым из трех наборов битов 
чтения, записи и выполнения гих (теа4, \тКе, ехесще), связанных с каждым 
файлом и каталогом. 
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Бѕһайом — содержит теневые пароли для групп. 


һоѕ. соп+ — используется более старыми приложениями для установки место- 
положений, в которых доменные имена (например, гедпа* .сот) ищутся в сетях 
ТСРЛР (например, в Интернете). По умолчанию выполняется поиск локаль- 
ного файла, а затем всех записей сервера имен в файле пеѕо1у. сопф. 


поз паше — содержит имя узла локальной системы (доступен в КНЕ 7 ив по- 
следних версиях систем Еейога и ОЪипќи). 


һоѕ+ѕ — содержит ІР-адреса и имена узлов, которые вы можете получить со 
своего компьютера. (Обычно этот файл используется только для хранения имен 
компьютеров в локальной или небольшой частной сети.) 


іпієёар — в более ранних версиях систем Глпах в данном файле содержалась 
информация, которая определяла, какие программы запускаются и останавли- 
ваются при загрузке іпих, выключении или переходе в различные промежу- 
точные состояния. Этот файл конфигурации считывался первым после запуска 
процесса іпіє. Он больше не применяется в системах Глпих, поддерживающих 
функцию ѕуѕёета. 


тёаб — содержит список файловых систем, которые в данный момент монти- 
руются. 


1001$ .соп+ — содержит настройки, применяемые инструментами РОЗ в их. 


патеа. соп — содержит настройки ОМ№5, если используется собственный ОМ$- 
сервер (пакет Ббіпа или біпа9). 


пѕѕміЄсһћ. соп — с помощью диспетчера службы имен (Мате Ѕегуісе Ѕуіёсһ, 
№55) определяет, откуда (через локальный узел или через сетевые службы) 
поступает важная системная информация (учетные записи пользователей, со- 
поставления имени узла с адресом и т. д.). 


пер. соп* — использует информацию, необходимую для запуска протокола се- 
тевого времени (Меб\уотК Тіте Ргобосо|, МТР). 


раѕѕма — хранит информацию об учетных записях всех пользователей в локаль- 
ной системе. Хранит также другую информацию наподобие имен домашнего 
каталога и оболочки по умолчанию. (Редко хранит сами пароли пользователей, 
они обычно находятся в файле /еёс/ ѕһайои.) 


ргіпёсар — содержит информацию о принтерах, подключенных к компьютеру. 
(Если файл ргіп+сар не существует, информацию о принтере можно найти 
в каталоге /еёс/сирѕ.) 


рго#11е — устанавливает общесистемную среду и программы запуска для всех 
пользователей. Этот файл считывается при входе пользователя в систему. 


ргофосо1$ — устанавливает номера протоколов и имена для различных интернет- 
служб. 


грс — определяет имена и номера вызовов удаленных процессов. 
ѕегуісеѕ — определяет имена служб ТСР/ТР и ОРрР и их назначения портам. 
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© 5һайон — содержит зашифрованные пароли для пользователей из файла раѕѕма. 
(Рассматривается как более безопасный способ хранения паролей, чем ис- 
ходный зашифрованный пароль в файле раѕѕма. Файл раѕѕма должен быть 
общедоступным, а вот файл зПааом может быть доступным только для супер- 
пользователя.) 


® сһе115 — перечисляет интерпретаторы командной строки оболочки (Баѕһ, $1, 
сѕһ ит. д.), доступные в системе, а также их расположение. 


© сидоег$ — задает команды, на выполнение которых у пользователя нет прав, 
но которые могут им выполняться. В частности, этот файл применяется для 
предоставления конкретным пользователям прав суперпользователя. 


® гзуз1ов.соп+ — определяет, какие сообщения журнала собирает демон гѕуѕ1ова 
и в каких файлах они хранятся. (Обычно сообщения журнала хранятся в фай- 
лах, находящихся в каталоге /уаг/1ов.) 

Ф хіпе+а. соп+ — содержит простую информацию о конфигурации, используемую 
демоном хіпе+а. Этот файл в основном указывает на каталог /еёс/хіпе+а. а, 
в котором находится информация об отдельных службах. 


Другой каталог, /е{с/Х11, включает подкаталоги, каждый из которых содержит 
общесистемные файлы конфигурации, задействуемые процессами Х и различными 
Х-оконными менеджерами, доступными для пах. Файл хогв. соп настраивает ком- 
пьютер, монитор и каталоги конфигурации с файлами, используемыми командами 
хат или хіпі, чтобы запустить процесс Х. 

Каталоги, относящиеся к менеджерам окон, содержат файлы со значениями 
по умолчанию, которые устанавливаются при запуске одного из этих менеджеров 
в системе. Менеджер окон ит может иметь в этих каталогах общесистемные файлы 
конфигурации. 


Файлы журналов и ѕуѕіета 


Одно из действий, которые система Глпих выполняет хорошо, — это отслеживание 
состояний системы, что очень полезно, учитывая массив происходящего в системе. 

Иногда при попытке запуска новой задачи происходит ошибка, и не всегда по- 
нятно почему. Или же необходимо проконтролировать систему, чтобы увидеть, 
не пытается ли кто-то незаконно проникнуть в ваш компьютер. В любом случае 
необходимо получать информационные сообщения, поступающие от ядра и служб, 
работающих в системе. 

В системах Глпих, которые не используют инструмент ѕуѕёета, основной ути- 
литой для регистрации ошибок и сообщений отладки является демон гѕуѕ1ова. 
(В некоторых старых версиях системы Глпих — демоны ѕуѕ1ова и ѕуѕ1ора.) Мож- 
но применять гѕуѕ1ова с системами ѕуѕ+ета, однако у ѕуѕќета есть собственный 
метод сбора и отображения сообщений, называемый журналом ѕуѕёета (команда 
јоигпа1с+1). 
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Команда јоигпаісії для просмотра журнала ѕуѕіета 


Основной командой для просмотра сообщений из журнала ѕуѕета является 
јоигпа1с+1. Процесс загрузки, ядро и все управляемые ѕуѕќета службы направляют 
сообщения о состоянии и ошибках в журнал $у$+ема. 

С помощью команды јоигпа1с1 можно отображать сообщения журнала раз- 
личными способами, например: 


# јоигпа1с+1 

# јоигпа1с1 --115%-Бо0%$ | һеаа 

-2 935466164... Ѕаї 2020-01-04 21:07:28 ЕЅТ-Ѕаї 2020-01-04 21:19:37 ЕЗТ 
-1 7336с0823... Ѕип 2020-01-05 10:38:27 ЕЅТ-Моп 2020-01-06 09:29:09 ЕЗТ 
9 еаебас25+... Ѕаї 2020-01-18 14:11:41 ЕЅТ-Ѕаї 2020-01-18 16:03:37 ЕЗТ 

# јоигпа1с+1 -Ь 488е152а3е264+666866е366с55264е7 

# јоигпа1с+1 -К 


В приведенных примерах команда јоигпа1с+1 без параметров позволяет просма- 
тривать все сообщения в журнале. Чтобы перечислить идентификаторы загрузки 
для каждой загрузки системы, используйте параметр -115*-600%$. Чтобы просмо- 
треть сообщения, связанные с конкретным сеансом загрузки, применяйте для него 
параметр -6. Чтобы увидеть только сообщения ядра, берите параметр -к. Примеры: 


# јоигпа1с+1 _$У$ТЕМО_ОМТТ=$$На.5ег\у1се 
# јоигпа1с+1 РКІОКІТҮ=е 
# јоигпа1с+1 -а -# 


Используйте параметр _5ҮЅТЕМО_ОМ№ІТ= для вывода сообщений о работе опре- 
деленных служб (в примере — служба ѕћа) или при работе любого другого файла 
модуля ѕуѕёета (например, для других служб или монтирования). Чтобы про- 
смотреть сообщения, связанные с определенным уровнем системного журнала, 
установите значение переменной РЕТОВТТУ от 0 до 7. В примере отображаются 
только экстренные сообщения (@). Чтобы отследить сообщения по мере их по- 
ступления, применяйте параметр -+, чтобы отобразить все поля информации — 
параметр -а. 


Управление сообщениями с помощью команды гѕуѕіода 


Команда г5у$1ор4 и ее предшественница ѕуѕ1орӣ собирают сообщения и направ- 
ляют их в файлы или удаленные узлы журнала. Журнал ведется в соответствии 
с информацией, содержащейся в файле /е+с/г5у$1о8.соп+. Сообщения обычно 
направляются в файлы журналов, которые находятся в каталоге /маг/1ов, но мо- 
гут быть направлены также на узлы журналов для обеспечения дополнительной 
безопасности. 

Вот несколько распространенных файлов журнала: 


© Боот. 105 — содержит загрузочные сообщения о службах по мере их запуска; 


® пеѕѕареѕ — содержит множество общих информационных сообщений о системе; 
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® зесиге — содержит сообщения, связанные с безопасностью, такие как вход в си- 
стему или любые другие действия, которые аутентифицируют пользователей. 


В главе 13 описана настройка команды гѕуѕ1ова. 


Использование других административных 
учетных записей 


Вряд ли вы слышали о возможности входа в систему под другими административны- 
ми учетными записями, за исключением суперпользователя. В системах МІХ было 
довольно распространенной практикой иметь несколько различных учетных запи- 
сей, которые позволяли распределять административные задачи между несколькими 
пользователями. Например, у пользователей, которые сидят рядом с принтером, 
могли быть дополнительные права 1р для управления выводом на печать. 

В любом случае административные учетные записи в Глпих доступны, однако 
подобный вход непосредственно в систему по умолчанию отключен. Учетные за- 
писи поддерживаются в основном для обеспечения права собственности на файлы 
и процессы, связанные с конкретными службами. Если демоны запускаются под 
отдельными административными учетными записями, то, когда один из них оказы- 
вается взломан, получить доступ к другим процессам и файлам нельзя. Рассмотрим 
следующие примеры. 


Ф 1р — пользователь владеет файлом журнала печати /уаг/10о8/сирз, различными 
файлами кэша печати и ѕроо1-файлами. Домашний каталог для 1р — это /маг/ 
5роо1/1ра. 

® арасһе — пользователь может настроить файлы содержимого и каталоги на веб- 
сервере АрасВе. Он применяется в основном для запуска процессов веб-сервера 
(НЕЕра) в системах ВНЕГ. и Еедога, в то время как пользователь мим -Яаѓа запу- 
скает службу Арасћһе (арасһе2) в системах ОЪипќи. 


© ауай1 — пользователь использует демон ауай1 и набор технологий гегосоп+ для 
работы служб в сети. 


© спгопу — пользователь запускает демон сһгопуа, который обеспечивает точную 
работу часов компьютера. 


© роз{Е1х — пользователь владеет различными каталогами и файлами ѕроо1 
почтового сервера. Он запускает демонические процессы для работы службы 
роѕійх (таѕ+ег). 

® ріп — пользователь владеет множеством команд в каталоге /біп в традиционных 
системах ОМІХ, кроме ОЪипќи, Еедога и Сепѓоо, потому что в них суперполь- 
зователь владеет большинством исполняемых файлов. Домашний каталог для 
біп — это /біп. 

© пемѕ — пользователь может управлять новостными сервисами в Интернете 
в зависимости от того, какие права установлены для каталога /маг/ѕроо1/пемѕ 
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и других ресурсов, связанных с новостями. Домашний каталог для пемѕ — это 
/еёс/пемѕ. 


® грс — пользователь запускает демон удаленного вызова процедур (грсбіпа), 
который применяется для получения вызовов служб в хост-системе. Служба 
МЕ задействует службу ВРС. 


По умолчанию административные учетные записи в предыдущем списке от- 
ключены. Вам нужно будет изменить оболочку по умолчанию с ее текущими на- 
стройками (обычно /ѕбіп/по1овіп или /біп/Ға1ѕе) на реальную оболочку (чаще 
всего /біп/Баѕћ), чтобы иметь возможность войти в систему как перечисленные 
ранее пользователи. Однако, как уже упоминалось, они не предназначены для 
интерактивного входа в систему. 


Проверка и настройка оборудования 


В идеальном мире после установки и загрузки Гапах все ваше оборудование сразу 
обнаружено и доступно для использования. Сейчас в системах Глпах процесс об- 
наружения оборудования улучшился, но бывает так, что необходимо предпринять 
специальные действия, чтобы оно начало работать. Кроме того, все более частое при- 
менение съемных ОЅВ-устройств (СО, РУО, ОЅВ-накопителей, цифровых камер 
и съемных жестких дисков) увеличило важность следующих характеристик пих: 


® способности эффективно управлять съемным оборудованием; 


® умения видеть одну часть оборудования по-разному (например, принтер должен 
быть виден как факс, сканер, накопитель и, конечно, принтер). 


Добавленные за последние несколько лет функции ядра Глпих позволили кар- 
динально изменить процессы обнаружения аппаратных устройств и управления 
ими. Подсистема О4еу управляет устройствами и обслуживает их файлы. 

Не пугайтесь, если это прозвучало странно. Подсистема создана для облегчения 
работы с Глпих. Встроенные в ядро функции позволяют автоматизировать обнару- 
жение устройств и сделать процесс гибким. 


® Автоматизация. Большинство распространенных устройств автоматически 
обнаруживаются и идентифицируются. Добавлены интерфейсы доступа к обо- 
рудованию. Информация о том, что оборудование подключено (или удалено), 
передается на уровень пользователя, где приложения, связанные с изменением 
оборудования, готовы смонтировать его и/или запустить приложение (напри- 
мер, менеджер изображений или музыкальный плеер). 


ө Гибкость. При желании можно изменить процесс подключения устройства. 
Например, функции, встроенные в рабочие столы СМОМЕ и КРЕ позволя- 
ют выбирать, что происходит при подключении музыкального СО или РУБ 
с данными либо цифровой камеры. Или, например, можно изменить программу 
обработки этого оборудования. 
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В следующих разделах мы узнаем, как правильно работать с оборудованием 
в пих. Во-первых, рассмотрим, как проверить информацию об оборудовании ва- 
шей системы. Во-вторых, как настроить Глпих для работы со съемными носителями. 
И втретьих, как использовать инструменты ручной загрузки и работы с драйверами 
оборудования, которое не обнаруживается и не загружается должным образом. 


Проверка оборудования 


При загрузке системы ядро определяет подключенное оборудование и запускает 
драйверы, которые позволяют Глпах работать с ним. Поскольку сведения об обна- 
ружении оборудования быстро прокручиваются на экране при загрузке, необходи- 
мо повторно отобразить их после запуска системы, чтобы просмотреть сообщения 
о потенциальных проблемах. 

Существует несколько способов просмотра сообщений о загрузке ядра после 
запуска пих. Любой пользователь может запустить команду @тезв, чтобы уви- 
деть, какое оборудование обнаружено и какие драйверы загружены ядром во время 
запуска. Поскольку ядро генерирует новые сообщения, они также доступны для 
команды атеѕұ. 

Второй способ просмотра загрузочных сообщений — это команда јоигпа1с+1, 
которая отображает сообщения, связанные с конкретным сеансом загрузки, как 
описано ранее в этой главе. 


ПРИМЕЧАНИЕ 


После запуска системы многие сообщения ядра отправляются в файл /маг/\од/теззадез. Так, например, если нужно 
увидеть, что происходит при подключении /5В-накопителя, можно ввести команду {ай -Ё /гаг/1од/тебзадез и пона- 
блюдать, как создаются устройства и точки монтирования. А команду јоигпа[сії -Ё использовать для отслеживания 
сообщений, поступающих в журнал ѕуѕќета. 


Далее приведен пример интересных фрагментов выходных данных команды 
атеѕе: 


$ атеѕрв | 1еѕ5 
[ 0.000000] 11пих уегѕіоп 5.0.9-301.#с30.х86 64 
(тоскбиі1а@бкегпе104.рһх2.Ғейогаргојесї.оге) (есс мегѕіоп 9.0.1 
20190312 
(Кеа Нас 9.0.1-0.10) (6СС)) #1 ЅМР Тие Арг 23 23:57:35 ШТС 2019 
[ 0.000000] Соттапа 1іпе: 
ВООТ_ТМАбЕ= (Һа0, тѕ051) /ут1іпи2-5.0.9-301.с30.х86 64 
гооЁ=/аеу/таррег/Ғейога_ 1оса1һћоѕі- -1іме-гоої го 
геѕите=/ аем/таррег/Ғейога 1оса1һћоѕ--1іуе-ѕмар 
га. 1\ут. 1у=Ғедйога 1оса1һоѕ+-1іме/ гоо 
га.1ут.1у=ҒеаӢога 1оса1һоѕ-1іме/ѕмар гп? диіе+ 


53181102 0ЅВ рІѕ5К 1100 РО: 0 АМЗТ: Ө ССЅ 
[79.177466] $4 9:0:0:0: Аі+асһеа $хс$1 репегіс $22 +уре 0 
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[79.177854] за 9:0:0:0: [$46] 
8343552 512-Буфе 1Іоріса1 Б1оскѕ: (4.27 68В/3.97 618) 
[79.178593] 5а 9:0:0:0: [546] мг1е Ргофесе 1$ о 


Из этого вывода сначала отображается версия ядра Глпих, а затем параметры 
командной строки ядра. В последних строках — описание подключенного О$В- 
накопителя на 4 Гбайт. 

Если при обнаружении или загрузке драйверов что-то пойдет не так, используй- 
те эту информацию, чтобы увидеть название и номер модели оборудования. Затем 
поищите информацию на форумах Глпих или в документации, чтобы решить про- 
блему. Существует также несколько дополнительных команд, которые позволяют 
просмотреть подробную информацию об оборудовании компьютера после запуска 
системы. Команда 15$рс1 выводит список шин ввода-вывода для подключения 
устройств (РСТ) на компьютере. Фрагмент вывода: 
$ 15рсі 
00:00.0 НозЕ Бгіаре: Тпфе1 Согрога+іоп 

5000% СН1рзеЕ Метогу Сопёго11егНир 
00:02.0 РСТ бгіаре: Тпе1 Согрога+іоп 5000 Ѕегіеѕ Сһірѕе+ї 
РСТ Ехргез$ х4 Рогі 2 
00:16.0 Аџаіо Яеуісе: Іпёе1 Согрога{1оп 631хЕ5В/632хЕЅВ 
Нірһ реҒіпіёіоп Аидіо СопЁго11ег (геу 09) 
00:1а.0 ОЅВ сопЕго11ег: Іпёе1 Согрогаіоп 631хЕ5В/632хЕ5В/3100 
Сһірѕе ОНСІ ОЅВСопЁго11ег#1 (геу 909) 
07:00.0 МСА сотра{161е сопіго11ег: пМідіа Согрогаіоп №44 
@с:02.0 ЕЕНегпеЕ сопЁго11ег: Іпёе1 Согрогаїіоп 82541РІ 
Сірарії Е+һегпе+ Сопёго11ег (геу 095) 


Мост хоста соединяет локальную шину с другими компонентами моста РСІ. 
Я сократил список, чтобы показать информацию о подключенных устройствах 
с разными функциями: звук (аудиоустройство — аціо Пеуісе), накопители и дру- 
гие ОЅВ-устройства (О05В-контроллер — О8В соптоПег), видеодисплеи (УСА- 
совместимый контроллер — УСА сотрайЫе соштоПег) и проводные сетевые карты 
(Ефегпе-контроллер — Еһегпеѓ сопігоПег). Если возникают проблемы с работой 
любого из этих устройств, обратите внимание на их модели и номера и поищите 
информацию о них в Интернете. 

Чтобы получить более подробный вывод из 15рс1, добавьте один или несколько 
параметров -у. Например, используя 1$рс1 -ууу, я получил сведения о своем кон- 
троллере Еһегпеѓ, включая отклик, возможности контроллера и драйвер Шіпих 
(е1000), применяемый для устройства. 

Команда 1зиз6 особенно хорошо подходит для вывода информации о ОЅВ- 
устройствах. По умолчанию 1$и$6 перечисляет информацию о О5В-концентраторах, 
установленных на компьютере, и всех подключенных ОЗВ-устройствах: 


$ 15и5Ь 

Виз 001 Бе\у1се 001: ТО 1966:0002 11пих Роипда1оп 2.0 гоо һир 
Виз 002 реуісе 001: ТО 1966:0001 11пих Роипда1оп 1.1 гооф һир 
Виз 003 Юреуісе 001: ІР 1966:0001 11пих Роипда1оп 1.1 гооф һир 
Виз 004 реуісе 001: ТО 1966:0001 11пих Роипда1опт 1.1 гоо һир 
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Виз 005 ОБе\м1се 001: ТО 1966:0001 11пих РоипдаЕ1оп 1.1 гоо Пи 
Виѕ 002 реуісе 002: Ір 413с:2105 ре11 Сотри+ег Согр. 
Моде1 1100 Кеубоага 
Виѕ 002 Ое\м1се 004: ТО 413с:3012 ре11 Сотри+ег Согр. 
Ор+іса1 Мһее1 Моизе 
Виз 001 Юреуісе 005: ТО 0@90с:1000 $111соп Мофіоп, Тис. - 
Таімап 64МВ ОБТ 02 ОТ$К 


В предыдущем примере отображаются модели клавиатуры, мыши и 08$В- 
накопителя, подключенных к компьютеру. Как и в случае с 15рсі, добавьте один 
или несколько параметров -у, чтобы увидеть более подробную информацию. 

Для просмотра подробной информации о процессоре выполните команду 15сри. 
Она дает основную информацию о процессорах компьютера: 


$ 15сри 

Агсһібесіиге: х86 64 

СРО ор-тоде(5) : 32-61%, 64-614 
СРУ($): 4 

Оп-11пе СРУ($) 115+: 90-3 

Тигеаа($) рег соге: 1 

Соге($) рег зосКе*: 4 


Из части данных 15$сри видно, что это 64-битная система (х86-64), она может 
работать в 32- или 64-битном режимах и в ней четыре процессора. 


Управление съемным оборудованием 


Системы Глпих (например, Веа Наї Епрѓегргіѕе Піпих, Еедога и др.), которые поддер- 
живают полную среду рабочего стола СМОМЕ, применяют простые инструменты 
с графическим интерфейсом для настройки подключения часто используемых 
съемных устройств к компьютеру. То есть при запущенном рабочем столе СМОМЕ 
можно просто подключить О5В-устройство или вставить СО или "Ур — и по- 
явится окно для работы с устройством. 

Несмотря на то что различные среды рабочего стола задействуют одни и те же 
базовые механизмы (в частности, О4еу) для обнаружения съемного оборудования 
и присвоения ему имен, инструменты, а также способы монтирования и приме- 
нения все же различаются. Подсистема О4еу с помощью демона идема создает 
и удаляет устройства (каталог /аеу) по мере их ввода/вывода. Однако параметры, 
интересующие пользователей настольной системы Глпих, настраиваются с помо- 
щью простых инструментов. 

Файловый менеджер Маи из с рабочего стола СМОМЕ позволяет настроить, 
что происходит при подключении и отключении съемных устройств, в окне Ейе 
Мападетепе Ргеѓегепсеѕ (Параметры управления файлами). Описание настроек в этом 
разделе основано на СМОМЕ 3.32 в Еедога 30. 

С рабочего стола СМОМЕ 3.32 перейдите в окно Асіімійеѕ (Обзор) и введите 
Кетоуаб1е Медіа (Съемный носитель). Затем выберите пункт ВетоуаЫе Месіа 5е па 
(Настроить съемный носитель). 
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Откроется окно с доступными настройками съемного оборудования. Эти пара- 


метры устанавливают, как обрабатываются съемные носители при их вставке или 
подключении. В большинстве случаев подходящий вариант действий предлагается 
системой. 


Звуковой компакт-диск (СО аи@ю). При вставке СО можно выбрать следу- 
ющие возможности: спрашивать, что делать (по умолчанию); ничего не делать; 
открыть папку или выбрать один из предложенных проигрывателей для вос- 
произведения. Программы КвВутБох (музыкальный проигрыватель), Аџіо 
С” Ехігасќог (запись дисков) и Втазего (запись дисков) — одни из основных 
вариантов работы с СР”. 


Видео-РуУур (РУО уійео). После вставки РУР” с видео программа предложит 
варианты действий с ним. Можно изменить вариант по умолчанию, чтобы за- 
пустить Тоѓет (видеоплеер), Вгазего (БУ -запись) или другой установленный 
медиаплеер (например, МРІауег). 


Музыкальный плеер (Мизѕіс рІауег). Если носитель содержит аудиофайлы, 
программа спросит о дальнейших действиях. Можно указать, чтобы Вћуёћтрох 
или какой-либо другой музыкальный плеер начал воспроизведение файлов. 


Фото (Рћоќоѕ). Когда вставленный носитель (например, карта памяти цифро- 
вой камеры) содержит цифровые изображения, программа спросит о дальней- 
ших действиях. Можно выбрать: ничего не делать, или открывать изображения 
в Эвоб\м\е| іпаве уіеуег (приложение по умолчанию для просмотра изобра- 
жений на рабочем столе СМОМЕ) или в другом установленном менеджере 
фотографий. 

Приложение (ЗоЁ\аге). Если на носителе содержится устанавливаемое про- 
граммное обеспечение, то его окно установки открывается по умолчанию. Чтобы 
изменить это, выберите один из предложенных вариантов (спрашивать, что 
делать, ничего не делать или открыть содержимое в папке). 


Другой носитель (Оёһег Мейа). В поле Туре (Тип) выберите тип часто ис- 
пользуемого носителя. Можно указать, какие действия совершать, к примеру, 
для звукового ОУ или чистых дисков Ва-гау, СО или рур. Можно также 
выбрать, какие приложения запускать для видеодисков, электронных книг 
и дисков Рісіиге СО. 


Обратите внимание на то, что описанные настройки действуют только для поль- 


зователя, который в данный момент вошел в систему. Если у системы несколько 
пользователей, каждый выбирает себе подходящий способ обработки съемных 
носителей. 


ПРИМЕЧАНИЕ 


Видеоплеер Тоїет не воспроизводит үр с фильмами, если не установлено дополнительное программное обе- 
спечение для расшифровки диска. Если хотите смотреть коммерческие Рүр-фильмы в пих, вам следует изучить 
юридические и другие вопросы, касающиеся воспроизведения фильмов. 
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Параметры подключения обычных О$В-накопителей или жестких дисков 
в этом окне не перечисляются. Однако при подключении одного из таких накопи- 
телей к компьютеру они автоматически загружаются в систему (с именами /аеу/ 
ѕаа, /аеу/ѕӣ6 и т. д.). Любые файловые системы, найденные на этих устройствах, 
автоматически монтируются в каталоге /гип/тедіа/иѕегпате, и система предложит 
открыть окно №аийіиѕ (Файлы) для просмотра файлов на этих устройствах. Это де- 
лается автоматически, и специальные настройки для этого не нужны. 

Когда закончите работу с ОЗВ-накопителем, щелкните правой кнопкой мыши 
на имени устройства в окне Мац из (Файлы) и выберите пункт Ѕаѓеіу Ветоме Огіме 
(Безопасное извлечение). Это действие размонтирует диск и удалит точку монти- 
рования в каталоге /гип/тедіа/иѕегпате. После этого можете безопасно отсоеди- 
нить ОЅВ-накопитель от компьютера. 


Загружаемые модули 


Если вы добавили на свой компьютер оборудование, но оно не было обнаружено 
должным образом, возможно, потребуется загрузить модуль для него вручную. 
В пах существует набор команд для загрузки, выгрузки и получения информации 
о модулях оборудования. 

Модули ядра устанавливаются в подкаталоги /116/тоди1е$/. Имя каждого 
подкаталога основано на номере ядра. Драйверы для ядра 5.3.8-200.1с30.х86 64 со- 
держатся в каталоге /1146/тоди1е$/5.3.8-200.+с30.х86_64. Модули в этих каталогах 
могут загружаться и выгружаться по мере необходимости. 

В Ипих доступны команды для перечисления, загрузки, выгрузки и получения 
информации о модулях. В следующих разделах будет описано, как использовать 
эти команды. 


Перечисление загружаемых модулей 


Чтобы увидеть, какие модули загружены в активное ядро компьютера в данный 
момент, возьмите команду 1ѕтоа, например: 


# 15тоа 

Моаи1е Ѕіле Џѕеа Бу 
уға 17411 1 

Ға+ 65059 1 уфа 
ца$ 23208 Өө 

иѕ6 ѕ+огаве 65065 2 иаѕ 
Ғиѕе 91446 3 

ір МАЅООЕКАРЕ 12880 3 
хЕ_СНЕСК$УМ 12549 1 

п4$\3 39043 1 
грсѕес 655 КгЬ5 31477 ө 
п#ѕу4 466956 Өө 

апѕ_ геѕо1мег 13096 1 п#ѕу4 


пЕ5 233966 3 п#5Ү3,ПЕѕҮу4 
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12с а1ро Бії 13257 


1 поџуеаи 
агт Ктѕ һе1рег 58041 1 поиуеац 
Тт 80772 1 поџмеаи 
агт 291361 7 іт, агт Ктѕ һҺе1рег,поимеаи 
аба репегіс 12923 Өө 
раа _асрі 13053 ө 
е1000 137260 Өө 
12с соге 55486 5 агт,1і2с 1801,ӣгт Ктѕ һе1рег 


Данный вывод отображает множество модулей, загруженных в систему Глпих, 
включая модуль карты сетевого интерфейса (е1000). 

Чтобы найти информацию о любом из загруженных модулей, используйте 
команду тоаіп+о, например: 


# /ѕріп/тодӢіпҒо -а е1000 
Іпёе1(К) РКО/1000 МефмогКк Ог1уег 


Не для всех модулей доступны описания, и если данных нет, то они не выводят- 
ся на экран. В данном же случае е1000 описывается как модуль сетевого драйвера 
Тифе1 (В) РКО/1000. С помощью параметра -а можно увидеть имя создателя модуля, 
а с помощью параметра -п — объектный файл, представляющий модуль. В инфор- 
мации об авторе часто содержится адрес электронной почты создателя драйвера, 
поэтому с ним можно связаться, если возникнут проблемы или вопросы. 


Загрузка модулей 


Можно загрузить любой модуль (от имени суперпользователя), который был 
скомпилирован и установлен в работающее ядро (в подкаталог /116/тоди1е$), 
с помощью команды тойргобе. Распространенная причина загрузки модуля — вре- 
менное использование этой функции, например загрузка модуля для поддержки 
специальной файловой системы на некоторых съемных носителях, к которым 
нужно получить доступ. Другой причиной загрузки модуля является идентифика- 
ция его как модуля, который будет использоваться определенным оборудованием, 
не обнаруживаемым автоматически. 

Пример с командой тоаргобе, задействуемой для загрузки модуля рагрог*, ко- 
торый отвечает за основные функции для совместного применения параллельных 
портов с несколькими устройствами: 


# тоаргобе рагрог 


После загрузки модуля рагрог* можно загрузить модуль рагрог* _рс, чтобы 
определить порты в стиле ПК, доступные через интерфейс. Модуль рагрогё рс по- 
зволяет определить также адреса и номера ІКО, связанные с каждым устройством, 
совместно использующим параллельный порт, как в следующем примере: 


# тоаргобе рагрогЕ рс іо=ӨхЗЬс ігд=аи+о 
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Здесь устройство идентифицируется с адресом ёхзЬс и ІКО для него опреде- 
ляется автоматически. 

Команда тоӣргобе загружает модули временно — они исчезают при следующей 
загрузке системы. Чтобы навсегда загрузить модуль в систему, добавьте командную 
строку тойргобе в один из сценариев запуска, выполняемых во время загрузки. 


Удаление модулей 


Применяйте команду гттоа для удаления модуля из активного ядра. Например, 
чтобы удалить модуль рагрогї_рс из текущего ядра, введите следующее: 


# гттоа рагрог*_рс 


Если модуль рагрогё рс в данный момент не используется, то он будет удален 
из ядра. Если же он занят, попробуйте завершить любой процесс, который устрой- 
ство может задействовать. Затем снова запустите команду гтто4. Иногда модуль, 
который нужно удалить, зависит от других загруженных модулей. Например, 
модуль иѕрсоге нельзя удалить, так как он встроенный: 


# гттоа иѕбсоге 
гттпоа: ЕККОК: Моаи1е иѕрсоге 15 Биі1+іп. 


Вместо команды гттоа используйте для удаления команду тоаргобе -г. С ее 
помощью вместо простого удаления запрашиваемого модуля можно удалить за- 
висимые модули, не задействованные другими модулями. 


Резюме 


Многие функции Тіпих, особенно те, которые потенциально могут навредить систе- 
ме или повлиять на других пользователей, требуют владения правами суперпользо- 
вателя. В этой главе описаны различные способы получения прав суперпользовате- 
ля: прямой вход в систему, команды зи и зидо. Глава также охватывает некоторые 
ключевые обязанности системного администратора и компоненты системы (файлы 
конфигурации, браузерные инструменты ит. д.), имеющие решающее значение для 
работы системного администратора. 

В следующей главе описывается, как реализовать полноценную установку си- 
стемы Глпих как с «живого», так и с установочного носителя. 


Упражнения 


Выполните данные упражнения, чтобы проверить свои знания в области системно- 
го администрирования и изучить информацию о системном оборудовании. Задания 
предназначены для дистрибутивов Еейога или Веа Наѓ Ещегризе Піпих (некоторые 
можно выполнить и в других системах Глпих). Если затрудняетесь с решением за- 
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даний, воспользуйтесь ответами к упражнениям, приведенными в приложении Б 
(хотя пих позволяет решать задачи разными способами). 


1 


10. 


Из оболочки от имени суперпользователя (или с помощью ѕидо) включите 
СосКри (соскрі+. ѕоскеё) с помощью команды ѕуѕёетс+1. 


Откройте браузер для интерфейса СосКкрі (9090) в своей системе. 


Найдите в каталоге /маг/ѕроо1 все файлы, принадлежащие пользователям 
(кроме суперпользователя), и отобразите их длинным списком. 


Станьте суперпользователем с помощью команды ѕи. Чтобы подтвердить, что 
у вас есть права, создайте пустой или обычный текстовый файл /тпё/&еѕ&.хї. 
Когда закончите, выйдите из оболочки. Если вы используете дистрибутив 
ОБипеи, сначала установите пароль суперпользователя (5и4о раѕѕма гоот). 


Войдите в систему как обычный пользователь и станьте суперпользователем 
с помощью команды ѕи. Отредактируйте файл /еєс/ѕидо, чтобы ваша обычная 
учетная запись пользователя получила полные права суперпользователя с по- 
мощью команды ѕиао. 


Как пользователь, которому даны права ѕийоег, используйте команду ѕийо для 
создания файла /тпё/еѕ+2.+х+. Убедитесь, что файл существует и принадлежит 
суперпользователю. 


Выполните команду јоигпа1сё1 -+ и подключите О5В-накопитель к ОЅВ-порту 
компьютера. Если он не монтируется автоматически, смонтируйте его в каталоге 
/тпі/сеѕі. Во втором терминале размонтируйте устройство и извлеките его, 
продолжая наблюдать за выводом данных из јоигпа1с+1 -#. 


Выполните ту команду, которая позволит узнать, какие ОЅВ-устройства под- 
ключены к компьютеру. 


Представьте, что вы добавили на компьютер ТВ-тюнер, но модуль, необходи- 
мый для его использования (Ь++у), не был обнаружен и загружен правильно. 
Самостоятельно загрузите модуль БУ, а затем проверьте, был ли он загружен. 
Загрузились ли вместе с ним другие модули? 


Удалите модуль Ь+єу и любые другие модули, которые загрузились вместе с ним. 
Перечислите все свои модули, чтобы убедиться, что Ьу удален. 


Установка 
пих 


В этой главе 


ш Выбор метода установки. 


= Установка одной или нескольких систем 
на компьютер. 


ш Установка системы Ғедога с «живого» носителя. 
ш Установка Вед На Епќегргіѕе Шпих. 

и Облачные установки. 

ш Разбиение диска на разделы для установки. 

т Загрузчик операционной системы СВОВ. 


Полноценная установка Глпих стала довольно простой, особенно если обзавестись 
компьютером с соответствующими характеристиками жесткого диска, оперативной 
памяти, процессора и т. д. Она подразумевает, что необходимо отформатировать 
жесткий диск. 

С облачными вычислениями и виртуализацией установка может быть еще про- 
ще. Они позволяют обойти традиционную установку и загрузить систему Глпих 
в течение нескольких минут, добавив метаданные к предварительно созданным 
образам. 

Сначала мы рассмотрим простую установку на физический компьютер с «жи- 
вого» носителя, затем перейдем к более сложным вариантам. 

Чтобы облегчить восприятие темы установки [іпих, я расскажу о трех различ- 
ных способах и пошагово опишу каждый. 


е Установка с «живого» носителя. Глпих Глуе [5$О-образ — это единый до- 
ступный только для чтения образ, содержащий все необходимое для запуска 
операционной системы Глпих. Этот образ можно записать на РУР или О$В- 
накопитель и загрузить с данного носителя. Работая с «живым» диском, можно 
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не принимать в расчет жесткий диск компьютера — фактически систему можно 
запустить в уже установленной системе, не используя жесткий диск. После 
загрузки с «живого» носителя Глпих некоторые операционные системы по- 
зволяют запустить инсталлятор, который на постоянной основе устанавливает 
содержимое «живого» носителя на ваш жесткий диск. Описывая первый способ 
установки в этой главе, расскажем, как установить полноценную систему Глпих 
из 13 О-файла операционной системы ЕеЧота. 


ө Установка с установочного РУР. Установочный рур (для Еедога, ВНЕГ, 
ОБип и других дистрибутивов) обеспечивает более гибкие способы установки 
Тапих. В частности, вместо того, чтобы просто копировать все содержимое «жи- 
вого» носителя на компьютер, с помощью установочного УР можно выбрать 
именно тот пакет программного обеспечения, который вам нужен. Второй спо- 
соб установки, рассмотренный в этой главе, позволяет установить дистрибутив 
Вей Наг Ещегризе Глпих 8 с установочного ОУ. 


ө Установка в корпоративной среде. При установке одной системы нет никаких 
проблем — сидишь и отвечаешь на вопросы инсталлятора. Но что, если нужно 
установить сразу 10 или 100 систем Глпих? Что делать, если требуется уста- 
новить несколько систем определенным образом? Далее в этой главе я опишу 
эффективные способы установки нескольких систем Глпих с помощью функций 
сетевой установки и файлов кіскѕ+аг+. 


Четвертый способ установки не описывается в этой главе, но позволяет 
установить Глпах в облако (например, Атахоп Жер Ѕегуісеѕ) или виртуальную 
машину на узле виртуализации, например в Упиа| Вох или в системе УМууаге. 
В главах 27 и 28 описываются способы установки или развертывания виртуальной 
машины на узле Глпах КУМ или в облаке. 

Чтобы вместе со мной опробовать все варианты установки, описанные в этой 
главе, вы должны иметь отдельный компьютер, данные с которого можно полно- 
стью стереть. В качестве альтернативы можно использовать компьютер, на котором 
установлена другая операционная система (например, №Уіпаоҳузѕ), при условии, 
что на жестком диске достаточно незадействуемого дискового пространства. Этот 
способ и риск потери данных тоже будут описаны на случай, если вы решите вы- 
полнить двойную загрузку (Тлпих и \п4о\%). 


Выбор компьютера 


Дистрибутив Глпих можно установить даже на портативное устройство или старый 
ПК с всего лишь 24 Мбайт оперативной памяти и процессором 486. Но, чтобы 
получить реальный опыт работы с настольным Глпих, нужно выбрать подходящий 
по характеристикам компьютер. 

Следует учитывать основные технические характеристики, которые нужны ком- 
пьютеру, чтобы запустить на нем дистрибутивы Еейога и Вей Наб Ещегрие Гіпих. 
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Поскольку Еейога является частью Кеа Наб Ерќегргіѕе Глпих, требования к обору- 
дованию у них аналогичны для базовых настольного и серверного оборудования. 


ө Процессор. Процессор Репи с частотой 1 ГГц — это необходимый минимум 
для установки графического интерфейса. Для большинства приложений подой- 
дет 32-разрядный процессор (х86). Однако, если нужно установить виртуали- 
зацию, понадобится 64-разрядный процессор (х86 64). 


ПРИМЕЧАНИЕ 


Если мощность вашего компьютер меньше необходимого минимума, присмотритесь к легковесным дистрибу- 
тивам Ипих. Легкие дистрибутивы для бити — это Реррегтіпї 05 (реррегтіпќоѕ.сот) и шшБипки (Іибипќи.пеї). 
Легкий дистрибутив для Ғейога — это [ХОЕ ($ріпѕ.ѓейогаргојесі.огд/1хае). Дистрибутив Ипих, требующий наимень- 
шего количества ресурсов, — это Тіпу Соге Мпих (НпусогеЙпих.пей). 


е Оперативная память (ОЗУ). Для установки ЕеЧота рекомендуется не менее 
1 Гбайт оперативной памяти, но лучше было бы 2 или 3 Гбайт. На своем рабочем 
столе ВНЕГ, я использую только браузер, текстовый процессор и менеджер по- 
чты — и это занимает более 2 Гбайт оперативной памяти. 


® рур или ОЅВ-накопитель. Необходимо иметь возможность запустить про- 
цесс установки с ОУР или О$В-накопителя. Последние версии образов Ее4ога 
Пуе шефа 150 слишком большие, чтобы поместиться на СО, поэтому нужно 
записывать их на Рур или 05В-накопитель. Если нет возможности загру- 
зиться с РУО или ОЅВ-накопителя, есть другие способы запустить установку 
с жесткого диска или с помощью среды РХЕ. Иногда после того, как установка 
запущена, из разных мест можно извлечь дополнительное программное обе- 
спечение (например, по сети или с жесткого диска). 


ПРИМЕЧАНИЕ 


Среда РХЕ (произносится «пикси») расшифровывается как Ргероої еХеси оп Епуігоптепї. Вы можете загрузить 
клиентскую версию системы с карты сетевого интерфейса (М№ІС), в которую входит среда РХЕ. Если загрузочный 
сервер РХЕ доступен в сети, он предоставляет все необходимое для загрузки клиента. То, что он загружает, может 
являться инсталлятором. Таким образом, с помощью среды РХЕ можно выполнить полную установку Ипих без СЮ, 
Рур или любого другого физического носителя. 


© Сетевая карта. Чтобы иметь возможность добавлять или обновлять программ- 
ное обеспечение, необходимо проводное или беспроводное сетевое оборудова- 
ние. Дистрибутив Еедота предоставляет бесплатные репозитории программного 
обеспечения при подключении к Интернету. Для дистрибутива ВНЕГ. обнов- 
ления доступны как часть платной подписки. 


® Пространство на диске. Для Еейога рекомендуется иметь не менее 20 Гбайт 
дискового пространства, хотя в зависимости от приобретенных пакетов тре- 
бования к установке могут варьироваться от 600 Мбайт (для минимального 
сервера без установки графического интерфейса) до 7 Гбайт (для установки 
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всех пакетов с установочного ОУП). Принимайте в расчет размер сохраненных 
данных. Документы обычно занимают мало места, а видеофайлам требуется 
много памяти. (Для сравнения: дистрибутив Тіпу Соге Піпих можно установить 
на диск с 16 Мбайт дискового пространства, и это при наличии графического 
интерфейса.) 


® Специальное оборудование. Некоторые функции Глпих требуют специаль- 
ного оборудования. Например, чтобы применять Еедога или ВНЕТ. в качестве 
узла виртуализации с помощью КУМ, компьютер должен иметь процессор 
с поддержкой технологий виртуализации. К ним относятся чипы АМО-У или 
Гбе!-УТ. 


Если вам неизвестны характеристики компьютера, есть несколько способов 
узнать о них. Если вы используете систему \/тао\, то в окне Ѕуѕіет Ргорегііеѕ 
(Свойства системы) найдете информацию о процессоре и объеме установленной 
оперативной памяти. В качестве альтернативы, загрузив образ Еейога Глуе СО, от- 
кройте оболочку и введите атезв | 1еѕ5, чтобы увидеть весь список оборудования 
системы. 

С помощью подходящего оборудования выберите способ установки Піпих с «жи- 
вого» или установочного носителя, как описано в следующих разделах. 


Установка Гедога с «живого» носителя 


В главе 2 описано, как получить и загрузить «живую» систему Глпих. В этой главе 
мы рассмотрим полноценную установку операционной системы БЕеога на жесткий 
диск. 

Главное преимущество установки с «живого» носителя — это простота процес- 
са. По сути, вы просто копируете ядро, приложения и настройки из образа 1850 на 
жесткий диск. В ходе установки пользователь принимает лишь несколько решений, 
причем не выбирая конкретные пакеты программного обеспечения. Уже после 
установки можно добавлять и удалять пакеты по своему усмотрению. 

Однако потребуется решить, где вы хотите установить систему и хотите ли 
сохранить существующие операционные системы после завершения установки. 


ө Односистемный компьютер. Самый простой способ установить Глпих — это 
установить ее в качестве единственной операционной системы. По окончании 
будет загружена система Еедога. 


е Многосистемный компьютер. Если у вас уже есть система \Лп4о\ и вы не хо- 
тите ее стирать, можно установить Еедога на одном компьютере с \/т4о\5. 
Правда, во время загрузки компьютера каждый раз придется выбирать, какую 
операционную систему запустить. Чтобы установить Еейога в системе с дру- 
гой операционной системой, необходимо иметь либо дисковое пространство 
за пределами \/т4о\’з, либо возможность уменьшить его затраты на систему 
М/п4о\з, чтобы освободить место для Ее4ога. Поскольку мультизагрузочные 
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компьютеры утомительно настраивать и всегда есть риск повредить уже уста- 
новленную систему, я все же советую устанавливать пих на отдельный ком- 
пьютер, даже старый, или на виртуальную машину. 


ө Коммутатор без ОС или виртуальная система. Система Еейога может быть 
установлена для загрузки непосредственно с компьютерного оборудования 
или из существующей на компьютере операционной системы. Если у вас есть 
виртуальный хост, можете установить Еейога в этой системе в качестве вир- 
туального гостя. Программное обеспечение хоста виртуализации включает 
КУМ, Хеп и Уігіџа[Вох (для систем Глпих, ОМІХ, \Мш4о\$ и тасО$), Нурег-У 
(для систем М1сгозо®) и УМууате (для Глпиах, №іпаоуѕ и тасО5). Вы можете 
использовать 1$ О-образ Еейога или записать его на физический ОУ, чтобы 
начать установку в выбранном хосте виртуализации. (В главе 27 описывается 
настройка хоста виртуализации КУМ.) 


Далее приведен план установки операционной системы ЕеЧота, о которой мы 
говорили в главе 2, на ваш компьютер. Поскольку установка Еейога 30 очень по- 
хожа на установку Кей Наё Етщегри!5е Глпих 8, описанную далее в этой главе, при- 
держивайтесь этого же порядка действий, если хотите расширить показанный здесь 
выбор настроек (особенно по части настройки хранилища). 


ВНИМАНИЕ! 


Перед началом установки обязательно сделайте резервные копии всех данных на компьютере, которые нужны 
сохранить. При установке можно не стирать выбранные разделы диска, если в других разделах достаточно сво- 
бодного места, однако всегда существует риск потери данных при работе с разделами диска. Кроме того, отключи- 
те все подключенные к компьютеру И5В-накопители, потому что они могут быть перезаписаны. 


1. Скачайте дистрибутив Еейога. Выберите образ Еейога Глуе, который хотите 
использовать, загрузите его в локальную систему и запишите на соответству- 
ющий носитель. В приложении А подробно описано, как получить образ Еейога 
и записать его на УР или О$В-накопитель. 


2. Загрузите образ. Вставьте УР или ОЗВ-накопитель. Когда появится экран 
ВТО$, найдите сообщение с указанием определенной функциональной клавиши 
(например, Е12) и нажмите ее, чтобы прервать процесс загрузки и выбрать за- 
грузочный носитель. Выберите ОУ или О$В-накопитель, после чего система 
Ее4ога должна отобразиться на загрузочном экране. Когда увидите загрузочный 
экран, выберите Ѕёагі Еедога — Моеацоп — Шме. 


3. Начните установку. Когда появится экран Меісоте їо Редога (Добро пожаловать 
в Еедога), выберите вариант Іпѕќаіі їо Нага Оиуе (Установить на жесткий диск). 
На рис. 9.1 показан экран выбора установки. 

4. Выберите язык. При появлении соответствующего окна укажите язык системы, 
например Виѕѕіап (Киѕѕіа) (Русский (Россия)), и нажмите кнопку №ехё (Продол- 
жить). Появится экран обзора установки (рис. 9.2). 
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АсИмие$ Ф М/есоте по Еедога ~ 1421 11:10 


\ММесоте {о Редога 


Тгу Реаога Іпа їо Нага Огіме 


Үоџ аге сиггепу гиппіпо Редога гот (іуе пе. 
Уоси сап іпѕ{а1 Еедога пом, ог сһооѕе "Іпѕ{а1 {о Нага Огіме" іп {Һе Асііуїіеѕ 
Оуегміем аї апу [а{ег Ите. 


Рис. 9.1. Запустите процесс установки с «живого» носителя 


Асіуііеѕ а 1п5(аЦ о Нага0гіме ~ Ји 21 11:24 


7 1М5ТАН-АТЮМ 5УММАВУ 


ОСАШ2АТІОМ 5ҮЅТЕМ 
| КеуЬоага 9 ІпѕќаЦабіоп Оеѕ(іпаоп 
Еһдіһ (0$) Ы Амотоце рәлйіопіпо зеіесіей 


Тите & Оаќе 


Атегісэ</№ечу Үогі итетове 


Рис. 9.2. Выберите параметры конфигурации на экране обзора установки 


244 Часть ПТ • Администрирование системы в Ипих 


8. 


10. 


11. 


Установите время и дату. На экране Тіте & Раќе (Дата и время) вы можете задать 
свой часовой пояс, щелкнув на карте или выбрав регион и город из раскрыва- 
ющихся списков. Чтобы установить дату и время при подключении к Интерне- 
ту, сделайте переключатель М№ебуогк Тіте (Сетевое время) активным. Или задайте 
дату и время вручную в нижней части экрана. Нажмите кнопку Оопе (Готово) 
в верхней части экрана. 


Выберите место установки. Отобразятся доступные устройства хранения 
данных (например, жесткий диск), а в качестве места установки будет выбран 
жесткий диск. Если нужно, чтобы программа установила Ееога автоматически, 
освободив пространство на диске, убедитесь, что выбран именно диск, а не О$В- 
накопитель или другое устройство, подключенное к компьютеру, и выполните 
следующие действия: 


= Ащотанс (Готово). Если на выбранном диске достаточно свободного места, 
можете продолжить установку, выбрав кнопку Сопіпие (Продолжить). В про- 
тивном случае необходимо освободить место на диске, установив флажок 
І мои |іке їо таке адаїйопа! ѕрасе ауаЙаЫе (Выделить дополнительное про- 
странство). Если хотите полностью стереть жесткий диск, выберите этот 
вариант и нажмите кнопку Сопіпие (Продолжить). Вы сможете очистить все 
или некоторые разделы с данными; 


= Весіаіт ГУК Ѕрасе (Восстановить пространство на диске). Здесь выберите 
вариант Юеіеќе А! (Удалить все). Затем нажмите кнопку ВАесіаіт Ѕрасе (Вос- 
становить пространство). Разбиение дисков будет настроено автоматически, 
и программа вернется на экран ІпѕїаПайоп Ѕиттагу (Обзор установки). 


Выберите клавиатуру. Можно оставить английскую (Епдјіѕћ (0.5.)) по умолча- 
нию или перейти в раздел Кеубоага (Клавиатура), чтобы выбрать другую рас- 
кладку. 


Начните установку. Нажмите кнопку Ведт Іпѕїќаіайоп (Начать установку), чтобы 
установить систему на жесткий диск. 


Завершите установку. Когда первая часть процесса будет завершена, нажмите 
кнопку Оий (Выход). 


Перезагрузите систему. Нажмите значок включения/выключения в меню 
в правом верхнем углу экрана. В появившемся окне выберите пункт Веѕќагі 
(Перезапустить). При появлении экрана загрузки системы извлеките или 
удалите «живой» носитель. Компьютер загрузит только что установленную 
систему ЕеЧота. (Может потребоваться выключить компьютер, чтобы он снова 
загрузился.) 


Начните использовать Еейога. Появится первый загрузочный экран, позво- 
ляющий, помимо прочего, создать учетную запись пользователя и установить 
к ней пароль. После завершения установки вы автоматически войдете в систему 
с этой учетной записью. Она предполагает права зидо, поэтому можете сразу 
приступать к решению административных задач. 
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12. Обновите программное обеспечение. Чтобы поддерживать безопасность и ак- 
туальность системы, первое, что нужно сделать после установки Еейога, — об- 
новить только что установленное программное обеспечение. Если компьютер 
подключен к Интернету (проводная сеть Ебћегпеї или беспроводная), откройте 
Тегтіпа! (Терминал) как новый пользователь и введите команду зидо ап ирдафе, 
чтобы загрузить программное обеспечение из Интернета и обновить все пакеты. 
Если будет установлено новое ядро, перезагрузите систему, чтобы изменения 
вступили в силу. 


На данном этапе можно начать использовать рабочий стол, как описано в гла- 
ве 2. Эту систему можно применять для выполнения упражнений из любой главы 
Книги. 


Установка Кеа Наї Епїегргіѕе Шпих 
с установочного носителя 


Помимо установки с «живого» РУР -носителя, большинство дистрибутивов Піпих 
предлагают один образ или набор образов, с помощью которых можно установить 
дистрибутив. В этом случае вместо копирования всего содержимого носителя на 
диск программное обеспечение разбивается на пакеты, которые можно выбрать 
вручную в зависимости от предпочтений. Например, полный установочный РУО 
позволяет установить что угодно, от минимальной системы до полнофункциональ- 
ного рабочего стола и полноценного сервера с несколькими службами. 

В этой главе мы рассмотрим установку Кей Наї Епѓегргіѕе Глпих 8 с установоч- 
ного РУО. Перед началом установки ВНЕГ. ознакомьтесь с информацией о не- 
обходимом оборудовании и описанием двойной загрузки из предыдущего раздела. 

Далее представлен план действий по загрузке Кеа Наї Ерѓегргіѕе Глпих 8 с уста- 
новочного РУР. 


1. Создайте установочный носитель. Процесс загрузки І50-образов КНЕТ. описан 
на странице Кеа Наї Епѓегргіѕе Глпих. Если вы не являетесь клиентом Вей Наб, 
подайте заявку на получение ознакомительной демоверсии здесь: гейһаї.сот/еп/ 
есһпоІодіеѕ/1іпих-рІаїѓогтѕ/епќегргіѕе-ііпих. Для этого необходимо создать учетную 
запись Кеа На. Если это невозможно, можете загрузить установочный РУР 
с зеркального сайта проекта Сет ОЗ: мікі.сепіоѕ.огд/ромтпіоаа. 


Для примера я использовал образ гпе1-8.3-х86_64-ама. 150-образ нужно за- 
писать на физический ОЗ В-накопитель или двухслойный рур, как описано 
в приложении А. 


2. Загрузите установочный носитель. Вставьте 05 В-накопитель или ПУР в ком- 
пьютер и перезагрузите его. (При необходимости прервите процесс загрузки, 
чтобы выбрать загрузку с выбранного ОЅВ или Рур.) Появится экран при- 
ветствия. 
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3. Выберите вариант Тп®а! или Те Мефа. Выберите пункт Те {15 тефа & пса! Ве 
Наї Епќегргіѕе Шпих, чтобы выполнить установку КНЕГ. Тестирование носителя 
проверяет, не был ли поврежден РУР после копирования или записи. Если 
нужно изменить процесс установки, добавьте параметры загрузки, нажав кла- 
вишу Тар. (См. раздел «Параметры установки» далее в этой главе.) 


4. Выберите язык системы. Укажите подходящий язык и нажмите кнопку Сопіпие 
(Продолжить). Появится экран Тп$аНабоп Ѕиттагу (Обзор установки). На нем 
настраиваются параметры в разделах !осайхаНоп (Региональные настройки), 
Ѕоймаге (Программное обеспечение) и Ѕуѕїет (Система) (рис. 9.3). 


Реанаё ИМ5ТАЧЧАТЮМ 5УММАКУ КЕР НАТ ЕМТЕКРЕІЅЕ ЦМЦХ 8.0.0 ІМЅТАЦАТІОМ 
Іа" 
Е Нер! 
ОСАЦ2АТІОМ ЗОРТУ/АВЕ ЅҮЅТЕМ 
|: КеуБоага 1пѕёаЦаїоп 5оигсе С ІпѕќаЦайоп Рез{паНоп 
Епав (05) оса теба Ы) Алотак ралюпто заеслед 
Тапдцаде Ѕиррогё ЗоРмаге Зе(есНоп КОИМР 
Еву (Опей $1кез) Ѕелегмёћ СЛ Кдитр в епзЫе4 
Тіте & Оаќе =) МебмогКк & Ноѕе Мате 
Атепсах/Меми Үогк бтегопе є № соппесќей 


ЅЕСОЕІТҮ РОМСУ 
№ робе заестед 


Ѕуѕет Ригроѕе 
Моге ѕеіесіей. 


Рис. 9.3. Выберите нужные параметры в разделах 1осайтаНоп (Региональные настройки), ЅоЁмаге 
(Программное обеспечение) и Ѕуѕќет (Система) на экране Іпѕќаайоп Ѕиттагу (Обзор установки) 


5. Раздел Кеубоага (Клавиатура). Выберите раскладку клавиатуры, подходящую 
для указанного ранее языка системы. Введите текст, чтобы увидеть, как рас- 
положены клавиши. 


6. Раздел Гапдиаде Ѕирроќ (Языковая поддержка). Система позволяет добавить под- 
держку дополнительных языков, помимо установленных по умолчанию ранее. 
По окончании нажмите кнопку ропе (Готово). 


7. Раздел Тіте & Рае (Дата и время). Выберите часовой пояс на карте или в списке, 
как описано в разделе «Установка Ее4ога с “живого” носителя». Установите 
время вручную с помощью стрелок 1 и } либо выберите вариант Мемогк Тіте 
(Сетевое время), чтобы система автоматически синхронизировала время по 
сети. По окончании нажмите кнопку бопе (Готово). 


8. Раздел Іпѕќаіайоп боигсе (Инсталляционный источник). Установочный ВУБ 
с пакетами КРМ используется по умолчанию. Здесь можно выбрать вариант 


10. 


11. 


12. 


13. 


14. 


15. 
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Оп ће пебмогк (В сети) с протоколами \/еЬ О ВТ. (һер, һерѕ или #&р), который 
определяет, где хранится программное обеспечение Вей Наё Епїѓегргіѕе Глпих. 
После выбора источника — РУР или в сети — можно добавить дополнительные 
репозитории уит, чтобы они тоже применялись во время установки. По оконча- 
нии нажмите кнопку Ропе (Готово). 


Раздел боймаге ЅеІіесіоп (Выбор программ). По умолчанию выбирается 5егуег мїћ 
СИТ (Сервер с СОТ) что предоставляет СМОМЕ 3, помимо базовой установки 
сервера. Есть также варианты Ѕегег (Сервер) без СОТ, Міпіта! Лл&а! (Минималь- 
ная установка), которая начинается с базового пакета установок, и Мокѕїайоп 
(Рабочая станция), подходящий для конечных пользователей. Можно добавить 
другие службы или базовые среды. Нажмите кнопку Оопе (Готово), чтобы про- 
должЖитьЬ. 


Раздел ІпѕќаПайоп Оеѕііпайоп (Место установки). Новая система КНЕТ. устанавли- 
вается по умолчанию на локальный жесткий диск с помощью автоматического 
разбиения на разделы. Можно также подключить сетевое хранилище или спе- 
циальное, например, Еігтуаге КАТО. (См. раздел «Разбиение жестких дисков» 
далее в этой главе, чтобы получить подробную информацию о настройке храни- 
лища.) По окончании нажмите Оопе (Готово). На этом этапе программа может 
спросить, можно ли очистить существующее хранилище. 


Раздел Каитр. Подключение функции Каитр позволяет выделить оперативную 
память, которая будет использоваться для создания аварийных дампов при 
сбоях ядра. Без Каитр невозможно осуществить диагностику ломаного ядра. 
По умолчанию Каитр выделяет 160 Мбайт плюс 2 бита на каждые 4 Кбайт опе- 
ративной памяти для сохранения информации о сбоях ядра. 


Раздел Мебмогк & НозЕ Мате (Сеть и имя узла). На этом этапе настраиваются 
любые обнаруженные карты сетевого интерфейса. Если в сети служба ОНСР 
доступна, информация о сетевом адресе назначается интерфейсу после его 
включения. Нажмите кнопку Сопйдиге (Настроить), чтобы вручную изменить на- 
стройки сетевого интерфейса. Заполните поле Ноѕіпате (Имя узла), чтобы задать 
имя узла системы. Настройка сети и имени узла во время установки облегчает 
начало использования системы. Нажмите Оопе (Готово), чтобы продолжить. 


Раздел Ѕесигіу Ройсу (Политика безопасности). Выберите профиль безопасности 
(по умолчанию не выбран), чтобы ваша система соответствовала стандарту без- 
опасности. Все настройки являются необязательными и могут быть изменены 
позже. 


Ѕуѕіет Ригроѕе (Предназначение системы). Это необязательный пункт, он позво- 
ляет выбрать цель системы, соглашение об обслуживаниии и использовании. 


Раздел Воої Раѕѕуога (Пароль гоо®). Установите пароль для администратора 
(суперпользователь, пользователь гоо?) и подтвердите его (введите еще раз). 
Нажмите кнопку ропе (Готово). Если пароль слишком короткий или слишком 
простой, понадобится придумать новый. Если же вы все-таки решили сохранить 
слабый пароль, нажмите кнопку ропе (Готово) еще раз. 
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16. Раздел Оѕег Сгеайоп (Создание пользователя). Рекомендуется войти в систему 
Тапих с готовой учетной записью пользователя, не являющегося суперпользова- 
телем, и запрашивать права по мере необходимости. Вы можете настроить учет- 
ную запись пользователя, включая имя, полное имя и пароль. Выберите пункт 
Маке {16 изег аатитгаког (Сделать этого пользователя администратором), чтобы 
дать права ѕидо (учетная запись сможет использовать права по необходимости). 
По окончании нажмите кнопку Оопе (Готово). Если пароль слишком короткий 
или слишком простой, придумайте новый. Если же вы хотите сохранить слабый 
пароль, нажмите кнопку Оопе (Готово) еще раз. 


17. Начало установки. Нажмите кнопку Ведт Іпѕїаіайоп (Начать установку), чтобы 
процесс стартовал. Появится индикатор хода установки. Во время этого можно 
назначить пароль гооф и создать новую учетную запись пользователя. 


18. Окончание установки. Когда установка будет завершена, нажмите кнопку 
ВеБоої (Перезагрузка). Когда система перезагрузится, извлеките РУР. Кеа Наб 
Ещегрг1зе Глпих запустится с жесткого диска. 


19. Откройте окно начальной настройки. Если установлен интерфейс рабочего 
стола, то при первой загрузке системы появится экран начальной настройки. 
Он включает в себя разделы: 


= Исепзе Іпѓогтайоп (Лицензионная информация). Прочтите информацию 
о лицензии и примите лицензионное соглашение, затем нажмите кнопку 
Ропе (Готово); 


= бибѕсгіріоп Мападег (Менеджер подписок). При появлении соответству- 
ющего запроса оставьте менеджер подписок настроенным по умолчанию 
(ѕибѕсгіріоп.ћп.гедһаї.сот) или введите адрес сервера Вей Наѓ ЗабеКе, чтобы 
зарегистрировать систему. Нажмите кнопку № х (Далее). Введите свою 
учетную запись Кеа На и пароль, а затем нажмите кнопку Вед5ег (Зареги- 
стрироваться), чтобы зарегистрироваться и получить право на обновление 
системы. Если подписка найдена и доступна, нажмите кнопку Аќасһ (При- 
крепить), чтобы подключить подписку. 


20. В конце выберите пункт Нин Сопйдиганоп (Завершить установку). 


Теперь вы можете войти в систему Кеа Наё Епїегргіѕе Глпих. И снова самое 
важное для начала — обновить программное обеспечение. Войдите в систему и за- 
пустите команду ѕидо іп ирёгаае из окна Тегтіпа! (Терминал). 


Облачные установки 


При установке системы Глпих на физический компьютер программа установки 
может видеть его жесткий диск, сетевые интерфейсы, процессоры и другие ком- 
поненты. При установке Глпих в облачную среду эти физические компоненты 
абстрагируются в пул ресурсов. Итак, чтобы установить дистрибутив Глпих 
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в Атахоп ЕС2, Соое Сошрще Епеше или облачную платформу ОрерЅѓасК, 
нужно действовать иначе. 

Распространенный способ установить Глпах в облаке — это начать с [$ О-образа 
установленной системы. Как правило, он включает в себя все файлы, необходимые 
для базовой системы Глпах. Метаданные добавляются к этому образу из файла 
конфигурации или путем заполнения формы из облачного контроллера, который 
создает и запускает операционную систему как виртуальную машину. 

Информация, добавляемая к образу, может включать конкретное имя узла, 
пароль суперпользователя и новую учетную запись пользователя. Можно также 
выбрать определенные объем пространства на диске, сетевую конфигурацию и ко- 
личество процессоров и оперативной памяти. 

Методы установки Глпах в локальную облачную среду КУМ описаны в главе 28. 
Там же рассказывается, как запустить систему Глпах в виде образа виртуальной 
машины в средах КУМ, Ата7оп ЕС2 и Ореп{аскК. 


Установка Шпих в корпоративной среде 


Если бы вы управляли десятками, сотнями и даже тысячами систем Тапих на 
большом предприятии, было бы неэффективно идти к каждому компьютеру и от- 
дельно устанавливать на нем систему. К счастью, работая с Кей Наё Ещегризе Піпих 
и другими дистрибутивами, можно автоматизировать установку таким образом, что 
потребуется лишь включить компьютер и загрузить систему из сети. 

Хотя мы основательно разобрали ход установки Глпах с УР или ОЅВ-носи- 
теля, существует множество других способов установки Глпах и ее завершения. 
Далее пошагово рассмотрим процесс установки и методы его изменения. 


ө Запуск установочного носителя. Вы можете запустить установку с любого 
носителя, который можно загрузить с компьютера, будь то СО, РУО, ОЅВ- 
накопитель, жесткий диск или сетевой адаптер с поддержкой РХЕ. Компьютер 
выполнит загрузку по порядку и просмотрит запись о ней на физическом носи- 
теле или найдет РХЕ-сервер в сети. 


® Запуск инсталлятора Апасоп4а. Задача загрузчика состоит в том, чтобы указать 
на специальное ядро (и, возможно, начальный ВАМ-диск), которое запускает 
инсталлятор [лпих, называемый Апасопа. Таким образом, любой из описан- 
ных ранее типов носителей просто должен указать на местоположение ядра 
и начального КАМ-диска, чтобы начать установку. Если пакеты программного 
обеспечения не находятся на одном носителе, в процессе установки будет задан 
вопрос, откуда их взять. 


е Файл КісКѕ(агі и другие параметры загрузки. Параметры загрузки (описаны 
далее в этой главе) передаются в ядро Апасоп4а для настройки запуска. Один из 
параметров, поддерживаемых для Еейога и ВНЕГ, позволяет передать инстал- 
лятору расположение файла кіскѕ+агі. Этот файл содержит всю информацию, 
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необходимую для завершения установки: пароль администратора, разбиение 
дисков, часовой пояс и т. д. После запуска инсталлятор либо запрашивает не- 
обходимую информацию, либо использует информацию из файла кіскѕ+аг+. 


ө Поиск пакетов программного обеспечения. Пакеты программного обеспечения 
не обязательно должны находиться на установочном носителе. Это позволяет 
запускать установку с носителя, содержащего только ядро и начальный диск 
оперативной памяти (КАМ-диск). Из файла кіскѕ+аг+ или выбранного вручную 
в инсталляторе нужно определить местоположение репозитория с пакетами 
программного обеспечения КРМ. Это может быть локальный СР (сагот), сайт 
(һер), ЕТР-сервер (#&р), МЕЅ (п+$), МЕЗ [ЗО (п#ѕіѕо) или диск (па). 


е Изменение установки со скриптами Кіскѕќагё. Скрипты в файле кіскѕёагї 
могут запускать команды, выбранные до или после установки, для дальнейшей 
настройки системы Глпах. Эти команды могут добавлять пользователей, изме- 
нять права, создавать файлы и каталоги, захватывать файлы по сети или иным 
образом настраивать установленную систему. 


Хотя тема установки Глпих в корпоративной среде выходит за рамки этой книги, 
мне бы хотелось объяснить технологии для автоматизации процесса установки 
Тлпих. Вот список нескольких технологий со ссылками, доступных для использо- 
вания в Кеа Нас Епѓегргіѕе Ііпих. 


® Сервер установки. Если настроить сервер установки, то не нужно будет пе- 
реносить пакеты программного обеспечения ВНЕТ, на каждый компьютер. 
По сути, вы копируете все пакеты программного обеспечения с установочного 
носителя КНЕГ. на веб-сервер (һер), ЕТР-сервер (+%р) или МЕЅ-сервер (п#5), 
а затем указываете местоположение этого сервера при загрузке инсталлятора. 
В руководстве по установке КНЕ. 8 описано, как настроить локальный или 
сетевой источник установки: ассеѕѕ.гедћаї.сот/Ӣоситепќайоп/еп-иѕ/геа_ Һа епќегргіѕе_ 
іпих/8/Һті-ѕіпоіе/регогтіпа_а_ѕапаага_гһће! іпѕіаайоп/іпаех#ргерагеіпѕќаПайоп-ѕоигсе_ 
ргерагіпо-ѓог-уоиг-іпѕёаПайоп. 


® Сервер РХЕ. Если у вас есть карта сетевого интерфейса (пебуогК іпбегѓасе сага, 
МІС), которая поддерживает загрузку РХЕ (как и большинство других), вы 
можете настроить в ВТО$ загрузку с этой карты. Если настроить РХЕ-сервер 
в этой сети, то он представит компьютеру меню с параметрами запуска процесса 
установки. В руководстве по установке ВНЕГ. содержится информация о том, 
как настроить РХЕ-серверы: ассеѕѕ.гейһаї.сот/аоситепќайоп/еп-иѕ/геа_ Һа епќегргіѕе_ 
іпих/8/ћіті-ѕіпдіе/регогтіпа_а_ѕќапаага ге! іпѕќаПайоп/іпаех#рооіпд-ћеіпѕїаПайоп-иѕіпо- 
рхе Бооїіпо-{ће-іпѕїаіег. 


® Файлы КісКѕќагЕ. Чтобы полностью автоматизировать установку, создаются так 
называемые файлы КісЕѕѓаті. Инсталлятор Глпих собирает всю представленную 
в файле информацию и автоматизирует установку. 


При установке КНЕГ файл кіскѕ+аг+, содержащий реакцию на все вопросы 
установки, находится в файле /гоо*/апасопда-К$ .с+в. Используйте этот файл 
для следующей установки, чтобы точно повторить конфигурацию, или в ка- 
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честве модели. См. расширенное руководство по установке КНЕТ. (А4уапсе@ 
КЕНЕТ. ТаѕсаПабіоп Сишае), чтобы получить информацию о настройке файла 
кіскѕ+агі: ассеѕѕ.геаһаі.сот/аоситепѓаїоп/еп-иѕ/геа_һаё_епѓегргіѕе Ііпих/8/һті-ѕіпоіе/ 
регѓогтіпа_ап_адуапсеа_гће!_іпѕїааїоп/іпаех/#регѓогтіпо_ап_аиќотаќеа іпѕѓаПабоп_ 
иѕіпа__Кіскѕїагі. 


А также о том, как создать собственный Ккіскѕ+агї-файл: ассеѕѕ.гейһаї.сот/ 
аоситепќайоп/еп-иѕ/геа һа{_епќегргіѕе |іпих/8/һті-ѕіпоіе/регѓогтіпа_ап_аауапсеа гһће!_ 
іпѕќаПайоп/іпаех/ #сгеаїіпо-Кіскѕїагі-#еѕ іпѕїа!ііпо-гһеі-аѕ-ап-ехрегіепсеа-иѕег. 


Общие параметры установки 


Некоторые темы установки, затронутые ранее в этой главе, раскрыты не полностью 
и требуют дальнейшего объяснения. В следующих разделах общие темы, касающие- 
ся процесса установки, описываются более подробно. 


Обновление или установка с нуля 


Если на вашем компьютере уже установлена более ранняя версия Глпиах, то Еедота, 
ОЪъипќёи и другие дистрибутивы позволяют обновить систему. Кеа Наё Епќегргіѕе 
Тіпих позволяет обновиться только с КНЕІ. 7 до ВНЕГ 8. 

Обновление позволяет перенести систему Глпах из одной основной версии 
в другую. Между второстепенными версиями можно просто обновлять пакеты по 
мере необходимости (например, набрав команду уит ирӣаѓе). Вот несколько дей- 
ствий, которые нужно выполнить перед обновлением. 


® Удалите дополнительные пакеты. Если у вас есть ненужные пакеты программ- 
ного обеспечения, удалите их перед обновлением. Обычно обновляются только 
системные пакеты. Процесс обновления обычно подразумевает большее коли- 
чество проверок и сопоставлений, чем первоначальная установка, поэтому чем 
меньше ненужных пакетов, тем быстрее пройдет процесс. 


® Проверьте файлы конфигурации. В ходе обновления Глпих часто остаются 
копии старых файлов конфигурации. Проверьте, что появились новые и что 
они работают. 


СОВЕТ 


Установка Мпих снуля происходит быстрее, чем обновление. К тому же новая система чище обновленной. Поэто- 
му, если вам не нужны данные, содержащиеся в системе (или если у вас есть их резервная копия), я рекомендую 
заново установить систему. Затем можете восстановить свои данные в только что установленной системе. 


Некоторые дистрибутивы Глпих, в первую очередь Сепбоо, непрерывно обновля- 
ют систему. Вместо того чтобы выпускать обновленную версию каждые несколько 
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месяцев, они постоянно обновляют пакеты, которые нужно устанавливать в системе 
по мере их появления. 


Мультизагрузка 


На одном компьютере может быть установлено несколько операционных систем. 
Для этого нужно иметь несколько разделов на жестком диске и/или несколько 
жестких дисков, а затем установить операционные системы в разные разделы. 
Загрузчик компьютера содержит информацию о загрузке для каждой из установ- 
ленных операционных систем, и можно выбрать, какую запустить в этот раз. 


ВНИМАНИЕ! 


За последние годы инструменты манипуляции с размерами разделов системы \\Ипао\м и настройки мультиза- 
грузочных систем улучшились, однако все еще существует риск потери данных в системах с двойной загрузкой 
үүіпаоууѕ/.іпих. Различные операционные системы часто по-разному представляют таблицы разделов и основ- 
ных загрузочных записей, из-за этого компьютер может перестать загружаться (по крайней мере временно) или 
вовсе утратит данные. Всегда создавайте резервные копии данных, прежде чем пытаться изменить размер фай- 
ловой системы М/іпдомуѕ, чтобы освободить место для Ипих. 


Если на вашем компьютере уже установлена система \/ш4о\уз, вполне воз- 
можно, что она занимает весь жесткий диск. Можно запустить загрузочный пах, 
например КМОРРІХ или Тіпу Соге Глпих, не трогая жесткий диск. Однако, чтобы 
полноценно установить Глпих, необходимо освободить место на диске за пределами 
системы №іпаоуѕ. Есть несколько вариантов действий. 


© Добавьте жесткий диск. Вместо того чтобы возиться с разбиением диска, про- 
сто добавьте еще один, только для Шіпих. 


ө Измените размер диска для Міпіоуѕ. Если в разделе диска, в котором нахо- 
дится система М№іпаожѕ, есть свободное место, можно его сжать и освободить 
место на диске для Глпих. Коммерческие инструменты, такие как Асгопіѕ РіѕК 
Путесвог (асгопіѕ.сот/еп-иѕ/регѕопа!/іѕк-тападег), позволяют изменять размер раз- 
делов диска и настраивать менеджер загрузки. Некоторые дистрибутивы Глпих 
(особенно загрузочные, которые используются в качестве спасательных носите- 
лей) включают инструмент СРагбе4, содержащий программное обеспечение из 
проекта Глпих-МТЕЗ для изменения размера разделов \/ш4о\з МТЕЅ. 


ПРИМЕЧАНИЕ 


Введите команду ап т$(а! драке (в Еедога) или арї-деќ та! драгќеа (в Обипќи), чтобы установить инструмент 
СРагїеа. Запускайте команду драге4 от имени суперпользователя. 


Перед изменением размера раздела М№іпіоуѕ может потребоваться его дефраг- 
ментация. Чтобы дефрагментировать диск в системах \/т4о\, приводя в порядок 


Глава 9. Установка Мпих 253 


используемое пространство, откройте Му Сотрщег (Мой компьютер), щелкните 
правой кнопкой мыши на значке жесткого диска (обычно это диск С:), выберите 
в контекстном меню пункт Ргореге$ (Свойства), перейдите на вкладку Тооб (Сер- 
вис), а затем нажмите кнопку Реѓгадтепё Мом (Оптимизировать). 

Дефрагментация диска может занять много времени. В результате все данные на 
диске станут смежными, создав много свободного пространства. Иногда для этого 
нужно выполнить дополнительные действия. 


ө Если файл подкачки \/ш4о\у$ не перемещается во время дефрагментации, 
его необходимо удалить. Затем после того, как вы снова дефрагментируете 
диск и измените его размер, нужно восстановить этот файл. Чтобы удалить 
файл подкачки, откройте Сопиго! Рапе! (Панель управления) и щелкните кноп- 
кой мыши на пункте бу%ет (Система). Откройте дополнительные свойства 
системы и в разделе Регѓогтапсе (Быстродействие) нажмите кнопку Оріопѕ 
(Параметры). Перейдите на вкладку Аауапсеа (Дополнительно) и нажми- 
те кнопку в разделе Миа! Метогу (Виртуальная память). Чтобы отключить 
файл подкачки, установите переключатель в положение О5аЫе Миа! Метогу 
(Без файла подкачки). 


ө Если в разделе РОЅ есть скрытые файлы, требуется их найти. В некоторых 
случаях их нельзя удалить. В других же — можно, например, файлы под- 
качки, созданные программой. Это довольно сложный процесс, потому что 
некоторые файлы, например системные файлы ЮО$, удалять нельзя. Для ра- 
боты со скрытыми файлами можно взять команду а+гір -$ -П из корневого 
каталога. 


После дефрагментации диска используйте коммерческие инструменты, опи- 
санные ранее (Асгопіѕ Ріѕк Юігесіог), для разбиения жесткого диска. Или же за- 
действуйте альтернативный вариант СРагбе4 с открытым исходным кодом. 

Освободив на диске достаточно места для установки іпих (см. требования 
к пространству диска, приведенные ранее в этой главе), можете установить ОЪипќи, 
Ее4ога, КНЕТ. или другой дистрибутив Глпих. При настройке загрузчика системы 
можно выбрать, какая система — У/т4о\з, Глпах и любой другой загрузочный 
вариант — будет загружаться при запуске компьютера. 


Установка и запуск Ипих в виртуальной среде 


Используя технологии виртуализации, такие как КУМ, УМуаге, УйиаВох или 
Хеп, можно настроить компьютер для одновременного запуска нескольких опе- 
рационных систем. В таком случае имеется главная операционная система-хост 
(например, рабочий стол Глпих или УЛ ш4о\з), а затем настраиваются гостевые 
операционные системы для работы в этой среде. 

В системе \/тао\у$ можно применять коммерческие продукты У Маге для 
запуска Глпах на рабочем столе \/ш4о\з. Пробная версия УМууаге У/огк%айоп 
доступна на сайте утмаге.сот/іту-итмаге. Бесплатный проигрыватель У Муаге Р!ауег 
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позволяет запускать образы ранее установленных виртуальных гостевых систем. 
Полная версия УМугаге \огКѕѓабіоп позволяет запускать несколько дистрибути- 
вов одновременно. 

Виртуализация с открытым исходным кодом, доступная в системах Глпих, вклю- 
чает в себя Уігџа[ Вох (мциаох.ога), Хер (хепргодесе.ога), а также КУМ (йпих-Кут.огд). 
Некоторые дистрибутивы до сих пор используют Хер. Однако все системы Кей 
Наѓ в настоящее время применяют КУМ в качестве гипервизора Кеа Нав КНЕГ, 
Вей Наг Упаа[хайоп и других облачных проектах. В главе 28 описана установка 
Тлпих в качестве виртуальной машины на узле Ипих КУМ. 


Параметры установки 


Когда ядро Апасоп4а запускается во время загрузки ВНЕТ. или Еейога, параметры 
самой загрузки из командной строки ядра изменяют поведение процесса установки. 
Прерывая работу перед загрузкой ядра установки, можно добавить собственные 
параметры загрузки и управлять установкой. 

Когда вы увидите экран установки, в зависимости от загрузчика нажмите кла- 
вишу Таб или какую-либо другую, чтобы отредактировать командную строку ядра 
Апасопаа. Строка с ядром может выглядеть примерно так: 


ут1іпих іпіёга=іпіёга. 118 


Мт1іпих — это сжатое ядро, а іпіёга.іте — начальный КАМ-диск, содержащий 
модули и другие инструменты, необходимые для запуска инсталлятора. Чтобы до- 
бавить параметры, просто введите их в конце этой строки и нажмите клавишу Епќег. 

Например, если у вас есть файл кіскѕ+аг+ в каталоге /гоо*/К$ . с+в на СО, при- 
глашение загрузки Апасоп4а может выглядеть следующим образом: 


ут1іпих іпіёга=іпіёга.іте Кѕ=сагот: /гоо*/К$ . св 


Для Кеа Нас Ещегризе Глпих 8 и последних выпусков Ееога параметры загруз- 
ки ядра, используемые во время установки, именуются по-новому. В соответствии 
с новым способом префикс іпѕ помещается перед любым из параметров загрузки, 
специфичным для процесса установки (например, пз* . хаг1мег или іпѕё.перо=аха). 
Пока все еще можете применять параметры, показанные в следующих разделах, 
с префиксом 1т$*. 


Параметры отключения функций 


Иногда установка Глпих завершается неудачно из-за того, что компьютер имеет 
какое-то нефункционирующее или неподдерживаемое оборудование. Чтобы 
обойти это, нужно передать инсталлятору параметры, которые отключат вы- 
бранное оборудование при выборе собственного драйвера. В табл. 9.1 показаны 
примеры. 
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Таблица 9.1. Параметры отключения функций 
Параметр | Действие 
пойгежіге | Не загружать поддержку устройств Нге\иге 
пота Не загружать поддержку ОМА для жестких дисков 
поїде Не загружать поддержку ІЮЕ-устройств 
потраёћ Не включать поддержку многопутевых устройств 
порагрогё | Не загружать поддержку параллельных портов 
порстсіа Не загружать поддержку контроллеров РСМСІА 
поргоБе Не выполнять пробу оборудования, вместо этого запрашивать у пользователя 
драйверы 
10$С81 Не загружать поддержку устройств 5С5І 
поцѕЬ Не загружать поддержку ОЅВ-устройств 
поіруб Не включать сеть [РУб 
попее Не выполнять пробу сетевых устройств 
пита-ой Отключить неравномерный доступ к памяти (МОМА) для архитектуры АМО64 
асрі=оЁ Отключить управление конфигурацией и питанием (АСР) 


Параметры загрузки при проблемах с видеофайлами 


Если у вас возникли проблемы с воспроизведением видео, можете добавить нужные 
настройки, как показано в табл. 9.2. 


Таблица 9.2. 


Параметры загрузки для проблем с видео 


Параметр загрузки Действие 


хагіуег=уеѕа 


Использовать стандартный видеодрайвер уеза 


гезооп=1024х768 Установить точное разрешение 


поф 


Не применять драйвер фрейм-буфера УСА 16 


ѕкіраас Не выполнять пробу ООС-монитора (проба прекращает работу 
инсталлятора) 
этарЫса| Принудительная установка с графическим интерфейсом 


Параметры загрузки специальных типов установки 


По умолчанию установка выполняется в графическом режиме, когда пользователь 


отвечает на 


вопросы. Если у вас есть текстовая консоль или графический интер- 


фейс не работает, можно запустить установку в обычном текстовом режиме, набрав 
команду ех. 
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Если нужно начать установку на одном компьютере, но ответить на вопросы 
установки с другого, включите систему удаленного доступа УМС (упиа[ пеб\уотК 
сотрийп5). После ее запуска можно перейти в другую систему и запустить упс 
уіемег, указав ему адрес целевой машины (например, 192.168.0.99:1). В табл. 9.3 
приведены необходимые команды и действия. 


Таблица 9.3. Параметры загрузки для установки УМС 


Параметр загрузки Действие 

УПС Запустить установку от имени УМС-сервера 

упссоппесі=имя хоста[:порт] Подключить к УМС имя узла и дополнительный порт 

упсраѕѕуога=пароль Использовать пароль клиента (не менее восьми 
символов) для подключения к инсталлятору 


Параметры загрузки для файлов КіскѕќагЕ 
и удаленных репозиториев 


С установочного носителя можно загрузить процессы, которые могут содержать 
не только ядро и начальный КАМ-диск. В таком случае необходимо определить 
репозиторий, в котором находятся пакеты программного обеспечения. Для этого 
предоставьте готовый файл кіскѕёаг+ или определите местоположение репозито- 
риев. Чтобы заставить программу установки запрашивать расположение репози- 
тория (СО/РУ, жесткий диск, МЕЅ или ОВІ -адрес), добавьте команду аѕктећой 
в параметры загрузки установки. 

С помощью параметров геро= можно определить местоположение репозитория 
программного обеспечения. В следующих примерах показан синтаксис, использу- 
емый для ввода геро=: 
геро=һа: /аем/ѕӣа1: /тугеро 
Репозиторий 6 каталоге / тугеро 6 первом разделе диска 
геро=һћ++р: / /абс.ехатр1е. сот/тугеро 
Репозиторий из каталога /тугеро на веб-сервере 
геро=Р р: //ҒЕр.ехатр1е. сот/тугеро 
Репозиторий из каталога /тугеро на ЕТР-сервере 
геро=сагот 
Репозиторий на СО) или рур 
геро=п#5 : :тупѕ .ехатр1е. сот: /тугеро/ 

Репозиторий из каталога /тугеро на №МЕ5-сервере 
геро=п#5150: : п $ .ехатр1е. сот: /туаӢіг/гће17.іѕо 
Установочный 150-образ, доступный на сервере МЕ$ 


Вместо того чтобы напрямую вводить местоположение репозитория, можно 
указать его в файле кіскѕ+аг+. Далее приведены примеры способов определения 
местоположения файла кіскѕёаг+: 


Кѕ=сагот: /$иЕ/К$ . с 
Загрузить файл кісеѕъағЕ с Ср- или рмр-носителя 
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кѕ=һа: ѕаа2: /+еѕ+/Кѕ. св 

Загрузить файл еісеѕъагЕ из тестового каталога на жестком диске (5а2) 
Ккѕ=һі+р: //ммм.ехатр1е. сот/Ккѕ#11е5/кѕ. ср 

Загрузить файл ЕтсЕ$ФагЕ с веб-сервера 

К$=РЕр: //ЕЕр.ехатр1е .сот/а11К$/К$ . с 

Загрузить файл ЕтсВ$ФагЕ с ЕТР-сервера 

Кѕ=п#5 : туп $ .ехатр1е. сот: /зотек$/К$. св 

Загрузить файл ЕтсВ$ЪагЕ с МЕ5-сервера 


Прочие параметры загрузки 
Рассмотрим несколько других параметров, которые можно передать инсталлятору. 


© гезсие. Вместо установки запускает ядро, открывающий режим восстановления 
Глпих. 


е тефасһеск. Проверяет установочный СО/ОУО на наличие ошибок контроль- 
ной суммы. 


Дополнительные сведения о применении инсталлятора Апасоп4а в режиме 
восстановления (для восстановления поврежденной системы пих) см. в главе 21. 
Информация об актуальных параметрах загрузки, используемых в ВНЕГ 8, есть 
в руководстве по установке КНЕТ. 8: ассеѕѕ.гейһаё.сот/Ӣоситепёайоп/еп-иѕ/геа_ Һа 
епїегргіѕе Ііпих/8/ћті-ѕіпдіе/регѓогтіпо_а_ѕќапаага гһе! іпѕќаПайоп/іпаех#сиѕіот-Бооїоріопѕ _ 
роойпд-ће-іпѕіаіег. 


Специальные устройства хранения 


Обычно операционная система и данные для больших корпоративных вычисли- 
тельных сред хранятся вне локального компьютера. Вместо этого в инсталлятор 
добавляется специальное запоминающее устройство, находящееся за пределами 
локального жесткого диска и используемое во время установки. 

После идентификации устройства, добавленные во время установки, могут 
применяться так же, как и локальные диски. Их можно разделить и назначить им 
структуру (файловую систему, пространство подкачки и т. д.) или оставить в покое 
и просто смонтировать в удобном месте. 

При установке Кеа Нас Епѓегргіѕе пих, Еейога или других дистрибутивов 
Тіпих на соответствующем экране можно выбрать следующие варианты устройств. 


ө Егтуаге КАТО. Встроенная ВАІЮ-сборка — это тип устройства, которое 
влияет на ВТО$, что позволяет использовать его для загрузки операционной 
системы. 


ө Многопутевые устройства. Как следует из названия, такие устройства обе- 
спечивают несколько путей ввода-вывода между компьютером и его запомина- 
ющими устройствами. Эти пути объединены между собой, поэтому все устрой- 
ства выглядят как одно для применяющей их системы, а базовая технология 
обеспечивает улучшенную производительность, избыточность или все вместе. 
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Соединения реализуются устройствами 15 СЗГ или Е те СБаппе! оуег Ећегпес 
(ЕСоЕ). 


® Другие устройства ЗАМ. Любое устройство, представляющее собой сеть хра- 
нения данных (ЗАМ). 


Хотя описание настройки этих устройств не входит в эту книгу, имейте в виду, 
что на предприятии, где доступны устройства1 СЗТ и ЕСоЕ, можно настроить свою 
систему Глпах и задействовать их во время загрузок. Для этого необходимо знать: 


® об устройствах 15 С$Т. Попросите администратора хранилища предоставить 
вам целевой ІР-адрес устройства і5С$І и тип аутентификации, необходимый 
для использования устройства. Для устройств 15С$1 могут потребоваться учет- 
ные данные; 


ө устройствах Ефге СБаппе! оуег ЕФегпеЕ (ЕСоЕ). Чтобы воспользоваться про- 
токолом ЕСоЕ, необходимо иметь сетевой интерфейс, подключенный к вашему 
коммутатору ЕСоЕ. В этом интерфейсе находятся доступные устройства ЕСоЕ. 


Разбиение жестких дисков 


Жесткий диск (или диски) на компьютере обеспечивает постоянное место хране- 
ния файлов данных, прикладных программ и самой операционной системы. Раз- 
биение — это процесс разделения диска на логические области (тома), с которыми 
можно работать по отдельности. В системе \УЛп4о\з обычно имеется один раздел, 
занимающий весь жесткий диск. Однако при использовании Глпих появляются 
причины разделить жесткий диск на секции. 


өе Множество операционных систем. Если вы устанавливаете Глпах на компью- 
тер, на котором уже имеется операционная система \/ш4о\, то разбиение дис- 
ка позволит сохранить обе. Каждая операционная система должна находиться 
отдельно от другой. При загрузке компьютера выбирается нужная. 


® Множество разделов внутри операционной системы. Чтобы защитить всю 
операционную систему от нехватки места на диске, пользователи назначают 
отдельные разделы для различных частей файловой системы тих. Например, 
если бы /һоте и /маг были назначены отдельным разделам, то заполненный 
каталог /һоте не помешал бы демонам записывать данные в файлы журнала 
в каталоге /маг/ 10е. 


Разбиение на разделы облегчает также выполнение определенных видов ре- 
зервного копирования (например, резервное копирование образа). Резервная 
копия образа /һоте будет сохраняться намного быстрее (и, вероятно, этот ва- 
риант предпочтителен), чем резервная копия образа всей корневой файловой 
системы (/). 


® Различные типы файловых систем. Разные типы файловых систем имеют 
различную структуру. Файловые системы разных типов должны находиться 
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отдельно друг от друга. Кроме того, разные файловые системы могут понадо- 
биться, чтобы иметь разные параметры монтирования для специальных функ- 
ций (например, только для чтения или для дисковых квот). В большинстве 
систем Глпих требуется по крайней мере один тип файловой системы для корня 
файловой системы (/) и один — для области подкачки. Файловые системы на 
СР” используют тип файловой системы 1509660. 


СОВЕТ 


При создании разделов для пих тип файловой системы назначается как Ипих пай\е (с помощью типа ехї2, ехіЗ, 
ехї4 или хб в большинстве систем Ипих). Если запущенные приложения требуют длинных имен файлов, значи- 
тельных размеров файлов или большого количества индексных узлов (каждый файл использует один индексный 
узел), можно выбрать другой тип файловой системы. 


Отличие от \1140\$ 


Если раньше вы работали только с операционной системой Міріо%ѕ, то, вероятно, 
весь жесткий диск был назначен как диск С: без каких-либо разделов. Во многих 
системах Піпих есть возможность просматривать и изменять разделы по умолчанию 
в зависимости от того, как предполагается использовать систему. 


Во время установки такие системы, как Еейога и ВНЕГ, позволяют разбивать 
жесткий диск на разделы с помощью инструментов с графическим интерфейсом. 
В следующих пунктах описано, как разбить диск на разделы во время установки 
Еедога. Интересные идеи по разбиению диска приведены в пункте «Советы по 
созданию разделов» далее. 


Типы разделов дисков 


Многие дистрибутивы Глпах позволяют выбрать различные типы разделов при 
разбиении жесткого диска во время установки. 


® Разделы пах. Используйте этот тип для создания раздела файловой систе- 
мы типа ехё2, ехіЗ или ехі4, который добавляется непосредственно в раздел на 
жестком диске или другом носителе данных. Тип файловой системы хЁ также 
может применяться в разделе Глпих. (Фактически хв теперь является типом 
файловой системы по умолчанию для систем КНЕТ 8.) 


® Разделы ГУМ. Создайте раздел ГУМ, если планируете добавить его в группу 
томов ГУМ. Эти разделы более гибки при расширении, сжатии и перемещении, 
чем другие. 


® Разделы КАТО. Создайте два раздела КАІР или более для объединения их в мас- 
сив КАТО. Они должны располагаться на отдельных дисках, чтобы КАТЮ-массив 
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стал эффективным. КАІр-массивы помогают повысить производительность 
и надежность, поскольку эти функции связаны с чтением, записью и хранением 
ваших данных. 


® Разделы подкачки (ѕуар). Создайте раздел подкачки, чтобы увеличить объем 
доступной в системе виртуальной памяти. 


Далее мы рассмотрим, как добавить обычные разделы Глпих, а также разделы 
ТУМ, КАТІ” и разделы подкачки с помощью инсталлятора Еейога с графическим 
интерфейсом. Если вы все еще не уверены, когда и какие типы разделов следует 
использовать, обратитесь к главе 12. 


Советы по созданию разделов 


Разбиение диска на разделы для работы нескольких операционных систем может 
показаться сложным отчасти потому, что каждая система имеет собственные пред- 
ставления том, как следует обрабатывать информацию о разделах и с помощью каких 
инструментов. Вот несколько советов, которые помогут все сделать правильно. 


® Если вы создаете систему со сдвоенной загрузкой, особенно с системой \Лш4о\з, 
сначала установите ее после того, как разделите диск. В противном случае уста- 
новка УЛ т4о\уз может заблокировать разделы Гіпих. 


© На справочной странице +491$К рекомендуется использовать инструменты раз- 
биения, которые входят в пакет с операционной системой, для создания разде- 
лов именно в ней. Например, программа +41$К в \/\п4о\уз знает, как правильно 
создавать разделы, подходящие \Лп4о\з, а Ғаіѕк в Глпих с радостью разделит 
диск для пах. После настройки жесткого диска под две системы не приме- 
няйте инструменты разделения, предназначенные для \/т4о\5. Задействуйте 
Глпих +915К или программу, созданную для мультизагрузочных систем, напри- 
мер Асгопіѕ 015К Оігесіог. 


ө В таблице МВК может содержаться четыре основных раздела, каждый из кото- 
рых способен содержать 184 логических диска. В таблице разделов СРТ имеется 
не более 128 основных разделов в большинстве операционных систем, включая 
Тіпих. Обычно столько их и не нужно. А если требуется больше разделов, с по- 
мощью функции ГУМ создайте нужное количество логических томов. 


Если Глпах работает в качестве настольной системы, в большом количестве раз- 
личных разделов необходимости нет. Однако существуют веские причины создать 
несколько разделов в совместно используемых или общедоступных системах Гіпих. 
Наличие нескольких разделов в Еедога или ВНЕГ, дает следующие преимущества. 


© Защита от атак. Хакерские атаки типа Оо$ (Юепіа! ої Зегутсе, отказ в обслужи- 
вании) воздействуют на жесткий диск, чтобы довести систему до отказа. Если 
общедоступные области системы, например /маг, находятся в отдельных раз- 
делах, атака заполнит весь раздел, но не затронет весь компьютер. Поскольку 
каталог /уаг — это основной каталог для веб- и ЕТР-серверов по умолчанию 
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и он содержит много данных, чаще всего в этот каталог назначаются отдельные 
жесткие диски целиком. 


© Защита от поврежденных файловых систем. Если у вас только одна файловая 
система (/), ее повреждение может привести к нарушению работы всей систе- 
мы Гпих. Повреждение раздела поменьше легче исправить, и это позволяет 
компьютеру оставаться в рабочем состоянии, пока выполняется исправление. 


В табл. 9.4 перечислены каталоги, для которых можно создать отдельные раз- 
делы файловой системы. 


Таблица 9.4. Назначение разделов определенным каталогам 


Каталог | Описание 


Љоої Иногда ВІОЅ на старых компьютерах может получить доступ только к первым 
1024 цилиндрам жесткого диска. Чтобы убедиться, что информация в каталоге 
ЉБооѓ доступна для ВТО$, создайте отдельный раздел диска (по умолчанию 
ВНЕ! 8 устанавливает этот раздел на 1024 Мбайт) для Љооѓ. Даже при наличии 
нескольких ядер редко бывает так, чтобы размер файла ооё превышал 

1024 Мбайт 


Гаѕг Эта структура каталогов содержит большинство приложений и утилит, доступных 
пользователям пих. Первоначально идея состояла в следующем: если /иѕг 
находится в отдельном разделе, эту файловую систему можно смонтировать только 
для чтения, что предотвратит замену или удаление важных системных приложений 
их собственными обновлениями и вероятность проблем с безопасностью. 
Отдельный раздел /иѕг полезен и тогда, когда у вас есть бездисковые узлы (рабочие 
станции) в локальной сети. Используя протокол МЕ$, вы можете задействовать 
каталог /иѕг по сети совместно с этими рабочими станциями 


/уаг Каталоги ЕТР (/уаг/Ёр) и веб-сервера (/уаг/\\у\/) по умолчанию во многих 
системах Глпих хранятся в каталоге /уаг. Отдельный раздел для /уаг не дает атаке 
на эти объекты повредить или заполнить весь жесткий диск 


оте Поскольку каталоги учетных записей расположены в этом каталоге, наличие 
отдельной учетной записи /Моте не даст неосторожному пользователю заполнить 
весь жесткий диск. Ему также удобно отделять пользовательские данные от 
операционной системы для легкого резервного копирования или новой установки. 
Часто /Воте создается как логический том ГУМ, поэтому он может увеличиваться 
в размерах по мере роста потребностей пользователя. Ему также могут быть 
назначены пользовательские квоты для ограничения применения диска 


/етр Если каталог /тр отделен от остальной части жесткого диска, то приложения, 
которым необходимо записать туда временные файлы, будут завершать свою 
обработку, даже если остальная часть диска заполнится 


Обычные пользователи системы Глпах редко видят необходимость в большом 
количестве разделов, но те, кто занимается крупными системами, в том числе 
их восстановлением, находят множество плюсов в том, что система разделена. 
Разделы уменьшают последствия преднамеренного повреждения (например, атаки 
типа Оо$), проблемы из-за действий пользователей и случайного повреждения 
файловой системы. 
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Загрузчик операционной системы СВОВ 


Загрузчик позволяет выбрать, когда и как загружать операционные системы, уста- 
новленные на жестких дисках компьютера. СКапа ті/іеа Воойоааег (СКОВ) — это 
самый популярный загрузчик, используемый для установленных систем Глпих. 
Сегодня доступны две основные версии СКОВ: 


© СВОВ Гегасу (версия 1) — работала с более ранними версиями КНЕГ, Еейога 
и Обипы; 


© СЕОВ 2 (версия 2) — текущие версии Кеа Нас Ещегризе Глпих, ОБита и Еейога 
применяют СКОВ 2 в качестве загрузчика по умолчанию. 


ПРИМЕЧАНИЕ 


ЅҮЅШМОХ — это еще один загрузчик для систем Ипих. Обычно он не используется для установленных систем 
Ипих. Однако применяется в качестве загрузчика для установочных Ср и РҮ пих. $ҮЅШМОХ особенно хорошо 
подходит для загрузки образов СО 1509660 (15ойпих) и ОВ -накопителей (5узЙпих), а также для работы на старом 
оборудовании или загрузки РХЕ (рхеЙпих) системы по сети. 


Если вы хотите загрузиться до определенного уровня запуска, добавьте нужный 
уровень в конец строки ядра. Например, чтобы загрузиться до третьего уровня 
запуска КНЕІ. (многопользовательский плюс сетевой режим), добавьте 3 в конец 
строки ядра. Можно также загрузиться в однопользовательский режим (1), много- 
пользовательский режим (2) или режим Х СОТ (3). Уровень 3 подходит, когда 
графический интерфейс временно недоступен. Уровень 1 подходит, если вы забыли 
свой пароль гоо&. 

По умолчанию при загрузке Глпих появится заставка. Чтобы видеть сообщения 
с действиями, требующимися при загрузке системы, удалите параметр гћер дизе* 
из строки ядра. Это позволит просматривать сообщения по мере их поступления. 
Нажатие клавиши Еѕс во время загрузки приводит к тому же результату. 

СКОВ 2 — это новая версия СКОВ Гевасу, сильно отличающаяся от преды- 
дущей. СКОВ 2 был принят в качестве загрузчика по умолчанию для последних 
версий Веа На Етцегризе Ііпих, Еедога и ОБипёеи. Основная функция загрузчика 
СКОВ 2 по-прежнему заключается в поиске и запуске нужной операционной 
системы, но теперь инструменты и файлы конфигурации гораздо более мощные 
и гибкие. 

В СКОВ 2 файл конфигурации теперь называется /Боо*/вгиб2/вгиь. сё или 
/езс/вгиб2е+1 . с+в (для систем, загружаемых с помощью ЕЕГ). Все, начиная с со- 
держимого файла вгиь. св и заканчивая способом создания вгир. св, отличается 
от параметров файла СВОВ Гевасу вгиь . соп+. 

Вот что нужно знать о файле вгиь . ср. 


® Не требуется редактировать файл вгиь. сев вручную или добавлять КРМ- 
пакеты ядра — вгиь. св автоматически генерируется из содержимого файла 
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/еёс/аеҒаџ1+/егир и каталога /еёс/ргиь.а/. Нужно только изменить или до- 
бавить эти файлы, чтобы настроить СКОВ 2 самостоятельно. 


® Файл ргиь. св может содержать синтаксис скриптов, включая функции, циклы 
и переменные. 


® Имена устройств, необходимые для определения местоположения ядер и на- 
чальных ВАМ-дисков, могут быть более надежно идентифицированы с по- 
мощью меток или универсально уникальных идентификаторов (О010). Это 
предотвращает изменение дискового устройства, такого как /4еу/зда, на /аеу/ 
ѕар при добавлении нового диска (из-за этого ядро не будет найдено). 


© Для систем Еейога и ВНЕГ. файлы *соп в каталоге /Бооё/1оайег/епёгіеѕ ис- 
пользуются для создания записей, которые появляются в меню СКОВ во время 
загрузки. 


Можно создать свою запись для меню загрузки СКОВ в соответствии с фор- 
матом существующей. Следующий файл в каталоге /Боо/1оайег/епёгіеѕ создает 
пункт меню для загрузки ядра ВНЕГ 8 и 1п1{га: 


{1Е1е Кеа Наф Епфегрг1$е 11пих (4.18.0-80.е18.х86_64) 8.0 (Ооїра) 
уегѕіоп 4.18.0-80.е18.х86_64 

Ііпих /\т11пи7-4.18.0-80.е18.х86_64 

1и1ЕГа /іпіёгатѕ-4.18.0-80.6е18.х86 64.іте $Еипей_1п1га 

орёіопѕ $Кегпе10оріѕ $ипед_рагат$ 

іа гһће1-20190313123447-4.18.0-80.е18.х86 64 

вгиб иѕегѕ $вгиб_изег$ 

5гибБ_агё --ипгезг1с*еа 

5гибБ_с1аз5 Ккегпе1 


Пункт в меню загрузки СКОВ 2 здесь отображается как Вед Нат Епёегргіѕе іпих 
(4.18.0-80.е18.х8_64) 8.0 (Ооїра). 

Строка 11пих определяет местоположение ядра (/мт1іпи2 -4.18.0-80.618.х86 64), 
а затем местоположение іпіёга (/іпіёгатЕѕ -4.18.0-80.6е18.х86 64.118). 

В СКОВ 2 существует еще множество возможностей, о которых вы можете 
узнать самостоятельно. Для этого введите команду іп#о вгиб2. Команда іпҒо для 
СКОВ 2 содержит множество информации о загрузке различных операционных 
систем, написания собственных файлов конфигурации, работы с файлами обра- 
зов СВОВ, настройки переменных среды СВОВ и работы с другими функциями 
СКОВ. 


Резюме 


Для каждого дистрибутива Гіпих имеется особый метод установки, но все равно 
необходимо выполнить много общих действий независимо от того, какую систему 
Тіпих вы устанавливаете. Важно разбираться в вопросах разбиения диска, параме- 
тров загрузки и настройки загрузчиков для каждой системы Глпих. 
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В этой главе я пошагово описал процедуры установки для рабочей станции 
Еедога (с использованием «живого» носителя) и Кеа Наё Ерќегргіѕе Глпих (с уста- 
новочного носителя). Вы узнали, как развертывание Т4пах в облачных средах 
может отличаться от традиционных методов установки путем объединения мета- 
данных с предварительно созданными файлами образов для работы на больших 
пулах вычислительных ресурсов. 

Здесь рассматривались также специальные темы из области установки, включая 
использование параметров загрузки и разбиение диска на разделы. В главе 10 мы 
поговорим о том, как начать управлять программным обеспечением в системе 
Тлпих, когда она установлена. 


Упражнения 


Выполните данные упражнения, чтобы проверить знания об установке Глпих. Я ре- 
комендую делать это на компьютере, на котором нет операционной системы или 
важных данных (то есть данных, которые нельзя стирать). Можно воспользоваться 
компьютером, который позволяет устанавливать виртуальные системы, если он 
есть. Упражнения составлялись для установки Еейога 30 У/отк%айоп с «живого» 
носителя и ВНЕТ. 8 с установочного рур. 


1. Начните установку Еейога с «живого» носителя, используя как можно больше 
параметров по умолчанию. 
2. После полной установки Еейога обновите все пакеты в системе. 


3. Начните установку КНЕГ. с установочного ОУ, но сделайте так, чтобы она 
выполнялась в текстовом режиме. Завершите установку любым способом. 

4. Начните установку КНЕТ с установочного РУР” и создайте следующие разделы 
для диска: /бооё — 1024 Мбайт, / — 6 Гбайт, /маг — 2 Гбайт и /һоте — 2 Гбайт. 
Остальное пространство оставьте пустым. 


ВНИМАНИЕ! 

Выполнение четвертого задания приведет к удалению всего содержимого жесткого диска. Если вы просто хотите 
попрактиковаться в разделении диска на разделы без вреда для него, перезагрузите компьютер, не нажимая 
кнопку применения изменений. Если же это сделать, все незатронутые данные будут удалены. 


Управление 
программами 


В этой главе 


= Установка программного обеспечения 
с рабочего стола. 


ш Управление пакетами с помощью ВРМ. 
ш Управление пакетами с помощью УМ. 
и Управление пакетами с помощью команды гр. 


ш Установка программного обеспечения 
на предприятии. 


В дистрибутивах Глпих, таких как Еедога и ОБипи, нет необходимости изучать, 
как программное обеспечение упаковывается и управляется, чтобы его получить. 
Эти дистрибутивы включают в себя отличные инструменты установки программ- 
ного обеспечения, которые связаны с огромными репозиториями данных. Пара 
щелчков кнопкой мыши — и вы используете программное обеспечение. 

То, что сейчас управление программным обеспечением Глпих так упростилось, — 
заслуга сообщества Глпих, которое усердно работало над созданием форматов 
упаковки, сложных инструментов установки и высококачественных программных 
пакетов. Теперь не только легко получить обеспечение, но и легко им управлять, 
обновлять его и удалять после установки. 

Эта глава начинается с описания установки программного обеспечения в Еейога 
с помощью нового инструмента с графическим интерфейсом. Обычному пользо- 
вателю вряд ли понадобится нечто большее, чем несколько настольных программ 
и обновлений системы безопасности. 

Чтобы углубиться в управление программным обеспечением Глпих, далее по- 
говорим о том, из чего состоят пакеты іпих (сравним дер и грт), какие существуют 
базовые компоненты управления программным обеспечением и команды (п, уит 
и грт) для управления программным обеспечением в Еейога и Кей Наб Ерѓегргіѕе 
Тіпих. Затем рассмотрим, как управлять пакетами программного обеспечения для 
корпоративных вычислений. 
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Управление программным обеспечением 
на рабочем столе 


Окно 5оймаге (Центр приложений) ЕеЧота интуитивно понятно и позволяет вы- 
брать и установить нужные настольные приложения, что не похоже на типич- 
ные методы установки обеспечения в Глпих. Окно Ѕо#маге (Центр приложений) 
в ОБапёи имеет тот же интерфейс, что и в Еейога. В любом случае в этом окне 
самым маленьким программным компонентом, который можно установить, явля- 
ется приложение. В Тлпих программное обеспечение устанавливается через пакеты 
(например, гртѕ и дез). 
На рис. 10.1 показан пример окна Ѕоћмаге (Центр приложений). 


Асіуійіеѕ @ бой\иаге ~ ЈиП 9 19:08 


Орда{ез 8 


а ІпѕќаЦед 


Ғеаќигеа Арріісаїіопѕ 


О Ітаде Мапіриіаїіоп Ргодгат 
аќе їтадеѕ апа еї рһоќодгарһѕ 


Саќедогіеѕ 


99 Аийо & Мідео 


РА Сатеѕ 


і Оемеіорег Тооіѕ 


9) СоттипкаНоп & №емуѕ 


№ бгарһісѕ & Рһоќодгарһу 


Е Еаосаќіоп & Ѕсіепсе 


[$ Ргойисцуйу 


Ў Ада-опѕ 


К ишез 


Еаіќог'ѕ Ріскѕ 


№ 


54еЦапигл сайьге В(епдег 
кий ЖжАкяй ЖК 


© Ф Э л 


1пкѕсаре 
ЖК 


Трипдего га Мизѕідџе 
Жи кяй 


Рис. 10.1. Устанавливайте пакеты программ и управляйте ими 
из окна боймаге (Центр приложений) 


Чтобы перейти к этому окну в Еедога или ОЪипќи, нажмите кнопку Асіуійеѕ 
(Обзор), затем введите боймаге (Центр приложений) и нажмите клавишу Епќег. При 
первом открытии окна можно включить разрешение на использование сторонних 
репозиториев программного обеспечения. Окно Ѕоћмаге (Центр приложений) — это 
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лучший способ установки приложений, ориентированных на рабочий стол, таких 
как текстовые процессоры, игры, графические редакторы и образовательные при- 
ложения. 

В окне можно выбрать нужные приложения из раздела популярных приложе- 
ний Еаќогѕ Ріскѕ (Выбор редакции), из категорий приложений Ацаю & \Мдео (Аудио 
и видео), батеѕ (Игры), бгарһісѕ & Рһоќодгарһу (Графика и фотография) и т. д. или 
выполнить поиск по имени или описанию. Нажмите кнопку Іпѕїа!! (Установить), 
чтобы загрузить и установить все пакеты программного обеспечения, необходимые 
для работы приложения. 

В окне также можно просмотреть все установленные приложения (вкладка 
Іпѕќаеа (Установлено)) или список приложений, который можно обновить (вклад- 
ка Орааѓеѕ (Обновления)). Если вы хотите удалить установленное приложение, 
просто нажмите кнопку Вето\уе (Удалить) рядом с именем пакета. 

Если использовать пих исключительно как настольную систему, то есть соз- 
давать документы, воспроизводить музыку и выполнять другие задачи, в центре 
приложений можно найти все, что для этого нужно. По умолчанию система под- 
ключается к основному репозиторию программного обеспечения Еейога и предо- 
ставляет доступ к сотням приложений. Как отмечалось ранее, также есть возмож- 
ность получить доступ к сторонним приложениям, которые вы можете бесплатно 
использовать, но не распространять. 

Окно 5оЙмаге (Центр приложений) позволяет загружать и устанавливать сотни 
приложений из репозитория Еедога, но на самом деле в нем содержатся десятки 
тысяч пакетов программного обеспечения. В таком случае какие пакеты из этого 
репозитория недоступны, когда они могут понадобиться и как получить их, а также 
пакеты из других репозиториев программного обеспечения? 


За пределами центра приложений 


Используя лишь настольную систему пих, можно вполне довольствоваться име- 
ющейся сотней приложений из центра приложений. Версии с открытым исходным 
кодом наиболее распространенных типов настольных приложений становятся до- 
ступными после подключения Еейога к Интернету. 

Далее приведены плюсы выхода за пределы того, что доступно в центре при- 
ложений обычному пользователю. 


ө Больше репозиториев. Еейога и Кеа Наё Ерќегргіѕе Глпих используют только 
свободно распространяемое программное обеспечение с открытым исходным 
кодом. Возможно, вам понадобится установить какое-то коммерческое про- 
граммное обеспечение, например АЯођБе Е1аѕћ РІауег, или несвободное из таких 
репозиториев, как гртҒиѕіоп. оге. 


® Не только настольные приложения. Десятки тысяч программных паке- 
тов в репозитории Ее4ога нельзя получить с помощью окна Ѕоймаге (Центр 
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приложений). Большинство их вообще не связаны с приложениями с графи- 
ческим интерфейсом. Например, некоторые пакеты содержат только инстру- 
менты командной строки, системные службы, средства программирования или 
документацию, которая не отображается в окне Ѕоћмаге (Центр приложений). 


ө Гибкость. Не каждый пользователь знает, что при установке приложения 
через окно 5оЙмаге (Центр приложений) на самом деле можно устанавливать 
множество пакетов КРМ. Этот набор пакетов может быть просто набором по 
умолчанию, включающим документацию, дополнительные шрифты, программ- 
ные плагины или несколько языковых пакетов, которые могут понадобиться, 
а могут и не понадобиться. Команды уит и грт позволяют определять, какие 
именно пакеты, связанные с приложением или другой программной функцией, 
установлены в вашей системе. 


ө Усложненные запросы. Команды ушт и гри предоставляют подробную инфор- 
мацию о пакетах, группах пакетов и репозиториях. 


ө Проверка программного обеспечения. Команда грп и другие инструменты по- 
зволяют проверить, был ли подписан пакет, или его компоненты изменены до 
либо после его установки. 


е Управление установкой программ. Окно Ѕоћмаге (Центр приложений) отлично 
справляется с установкой настольных программ в одной системе, но не позво- 
ляет расширить управление программным обеспечением на несколько систем. 
Для этого есть другие инструменты, помимо грм. 


Прежде чем переходить к инструментам командной строки для установки про- 
граммного обеспечения в Глпих и управления им, в следующем разделе мы рассмо- 
трим, как в Глпих работают базовые системы упаковки пакетов и управления ими. 
В частности, рассмотрим программу КРМ, поскольку она используется в Еейога, 
Вей Нас Ерѓегргіѕе Глпах и связанных с ними дистрибутивах, а также в пакетах 
ев, которые связаны с ОеЫап, ОБипа, Глпих Міпё и др. 


Управление пакетами с помощью КРМ и РЕВ 


В первых системах Глпих чтобы добавить программное обеспечение, необходимо 
было взять исходный код из проекта, скомпилировать его в исполняемые двоичные 
файлы и перенести на свой компьютер. При большом везении чья-то скомпилиро- 
ванная версия могла подойти и для вашего компьютера. 

Формой пакета может быть ѓат-файл, содержащий исполняемые файлы (ко- 
манды), документацию, файлы конфигурации и библиотеки (тарбол — это один 
файл, в котором несколько файлов собраны вместе для удобного хранения или 
распространения). При установке программного обеспечения из тарбола фай- 
лы из него распределяются по всей системе Глпих в соответствующие каталоги 
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(/изг/зПаге/мтап, /еёс, /біп, /116 и др.). Да, легко создать архивный файл и просто 
поместить набор программного обеспечения в систему Глпих, однако этот метод 
установки затрудняет выполнение следующих действий. 


® Определение зависимости одних программ от других. Чтобы устанавливаемое 
программное обеспечение заработало, нужно знать, зависит ли оно от другого. 
Если да, то придется отследить это программное обеспечение и установить его 
тоже (и оно также может зависеть от другого ПО). 


® Перечисление программ. Даже если известно имя команды, вы можете не знать, 
где находятся ее документация или файлы конфигурации. 


е Удаление программ. Если исходный тарбол не сохранен, вы не будете знать, 
где находятся все файлы, и не сможете удалить их все. Но даже если бы знали, 
вам пришлось бы удалять каждый из них по отдельности. 


® Обновление программ. Тарболы не предназначены для хранения метаданных 
о своем содержимом. После установки содержимого тарбола нет возможности 
определить, какая версия программного обеспечения используется, что затруд- 
няет поиск ошибок и обновление программ. 


Чтобы устранить эти проблемы, перешли от простых тарболов, содержащих 
пакеты с программами, к более сложной упаковке. За немногими исключениями 
(Сешоо, 51аскуаге и некоторые другие), в большинстве дистрибутивов Глпих при- 
меняется один из двух форматов упаковки — РЕВ и КРМ. 


® ПЕВ (.іеЬ). Проект Реап СМО ЛПіпих создал упаковку дер, которую исполь- 
зуют ОеЫап и другие дистрибутивы, основанные на ОеЫар (ОЪипќи, Глпах Міре, 
КМОРРІХ ит. д.). Работая с инструментами ар*-ве*, ар+ и арке, дистрибутивы 
Тіпих могут устанавливать, обновлять и удалять программное обеспечение, 
а также управлять им. 


өе ВРМ (.грт). Первоначально названный Кеа Наб Раскаве Мапабег, но позже 
переименованный, КРМ Раскаѕе Мапабет является предпочтительным фор- 
матом пакетов для дистрибутивов ЗОЪЕ, Веа Наё (ВНЕГ и Ее4ога) и тех, 
которые основаны на дистрибутивах Кей Нас (Се О$, Огабе Глпих и т. д.). 
Команда прп стала первым инструментом для управления пакетами КРМ. 
Позже для улучшения работы ВРМ был добавлен уип, а его в конечном итоге 
заменит ап. 


Для управления программным обеспечением на отдельных компьютерах под- 
ходит как КРМ, так и РЕВ, что вызывает споры у некоторых пользователей. Хотя 
ВРМ — предпочтительный формат для обновления и обслуживания корпоратив- 
ного программного обеспечения, а также управления им, РЕВ очень популярен 
у многих пользователей Глпих. Эта глава охватывает как программу КРМ (Еейога 
и Веа Наб Ерѓегргіѕе Піпих), так и в некоторой степени РЕВ, а также управление 
программным обеспечением. 
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Управление пакетами с помощью РЕВ 


Программные пакеты Оеап содержат несколько файлов и метаданных, относя- 
щихся к некоторому набору программного обеспечения в формате архива. Файлы 
могут быть исполняемыми файлами (командами), файлами конфигурации, доку- 
ментацией или другими программными элементами. Метаданные включают в себя 
зависимости, сведения о лицензировании, размеры пакетов, описания и другую 
информацию. Для работы с файлами РЕВ в ОБипеи, ОеЫап и других дистрибути- 
вах іпих существуют специальные консольные утилиты и инструменты с графи- 
ческим интерфейсом, например такие. 


® Центр приложений ОБита (ОБипи ЗоЁ\аге Сещег). Перейдите в окно 
боймаге (Центр приложений) в ОБипёи через меню Асімійеѕ (Приложения) на ра- 
бочем столе СМОМЕ. В появившемся окне можно искать нужные приложения 
и пакеты с помощью поиска, по ключевым словам или категориям. 

® Команда арибиае. Команда ар+ієиде — это установщик пакетов, который предо- 
ставляет экранное меню в оболочке. После выполнения команды используйте 
клавиши со стрелками, чтобы выделить нужный элемент, и нажмите клавишу 
Епќег, чтобы выбрать его. Команда позволяет обновлять пакеты, устанавливать 
новые или просматривать установленные. 

® Набор команд арі“. Это набор команд ар** (арё-веї, арі, ар*-соп1в, ар*-сасНе 
ит. д.), спомощью которых можно управлять программными пакетами. 


Центр приложений ОБипеи интуитивно понятен и позволяет легко находить 
и устанавливать нужные пакеты программного обеспечения. Однако существуют 
команды, которые помогают установить пакеты и управлять ими с помощью 
команд ар**. В примере я хочу найти и установить пакет мѕ#+ра: 
® $5000 арї-веї ирдаее — обновить версию пакета; 


® $ ѕидо ар+-сасһе ѕеагсһ ира — найти пакет по ключевому слову (например, 
уѕ#+ра); 


$ ѕиӣо арі -сасһе ѕһом уѕ#ёра — отобразить информацию о пакете; 
$ ѕидо ар -сеЁ іпѕ+а11 ура — установить пакет уѕ+#&ра; 


$ ѕидо ар*-ве* ирвгайе — обновить установленные пакеты, если есть обновление; 


$ ѕидо ар -сасһе ркепатеѕ — перечислить все установленные пакеты. 


ПРИМЕЧАНИЕ 


Обратите внимание на то, что в этих примерах командам арї* предшествует команда ѕиао. Это связано стем, 
что администратор в Ирипи может выполнять административные команды как обычный пользователь с права- 
МИ 5100. 


Для команд арї* существует множество других способов применения, которые 
стоит попробовать. Если у вас установлена система ОЪипќи, я рекомендую ввести 
команду тап ар, чтобы узнать о возможностях команд арх. 
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Управление пакетами с помощью КРМ 


Пакет КРМ — это совокупность файлов, необходимых для работы функций, таких 
как текстовый процессор, средство просмотра фотографий или файловый сервер. 
В пакет ВРМ входят команды, файлы конфигурации и документация, составля- 
ющие программный компонент. Файл ВРМ включает в себя также метаданные, 
которые хранят информацию о содержимом этого пакета, о том, откуда он взялся, 
что ему нужно для запуска и др. 


Что такое ВРМ 


Даже не заглядывая в пакет ВРМ, можно многое понять по его названию. Чтобы 
узнать имя пакета КРМ, установленного в данный момент в вашей системе (в дан- 
ном примере браузер Еігеѓох), введите из командной консоли в Ееога или Кеа Нас 
Епќегргіѕе пих: 

# грм -а ҒігеҒох 

Ғіге+ох-67.0-4.#с30.х86 64 


Из этого понятно, что базовое имя пакета — Ғіге#ох. Номер версии — 67.0 (присво- 
ен разработчиком Етеюх — проектом Мо7Ша). Релиз — 4 (назначается Еейога каждый 
раз, когда пакет обновляется под одним и тем же номером выпуска). Пакет #1гефох 
построен для Еейога 30 (#сзе) и скомпилирован для 64-битной версии х86 (х86_64). 

Когда пакет #1гефох был установлен, он, вероятно, был скопирован с устано- 
вочного носителя (например, СО или рур) или загружен из репозитория ҮОМ 
(подробнее об этом позже). Имя файла КРМ в локальном каталоге выглядело бы 
как ҒігеҒох-67.0-4.#с30.х86 64.ЕРМ, и можно было бы установить его оттуда. Не- 
зависимо от того, откуда взялся пакет, после установки его имя и другая информа- 
ция сохраняются в базе данных ЁРМ на локальном компьютере. 

Чтобы больше узнать о том, что находится внутри пакета КРМ, используйте 
параметры, отличные от команды гр, для запроса этой локальной базы данных 
КРМ, как в этом примере: 


# грт -91 ҒігпеҒох 


Мате : ҒігеҒох 
Мегѕіоп : 67.0 
Ке1еаѕе : 4.#с30 


АгсһіФесёиге: х86 64 
Іпѕёа11 рае: Ѕип 02 Јип 2019 09:37:25 РМ Ерт 


бгоир : Опѕресі+іеа 

Ѕіғе : 266449296 

1 сепзе : МРІМ1.1 ог СРЕУ2+ ог ІСРІМ2+ 

Ѕірпа+иге : КАЅА/ЅНА256, Ег1 24 Мау 2019 12:09:57 РМ ЕРТ, Кеу 1р 
еҒ3с111#с#с65969 


Ѕоигсе КРМ : ҒігеҒох-67.0-4.#с30.5гс.грт 

Виі1а рае : Тһи 23 Мау 2019 10:03:55 АМ Ерт 
Виі1а Но$& : биі1аһм-08.рһх2.Ғейогаргојесі.оге 
Ке1осафіопѕ : (пої ге1оса+аб1е) 

РасКавег : Редога Ргојес+ 
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МепЯӣог : Редога Ргодес* 

ОК : ҺЕЕрѕ : / /ммм. то2111а.огр/ҒігеҒох/ 

Вие ОК : ҺЕрѕ : //бирг2. Ғейаогаргојесі.огр/ҒігеҒох 
5иттагу : Мо2111а Е1гефох Мер Бгомѕег 
Рреѕсгір+іоп 


Мо2і11а Е1гефох іѕ ап ореп-ѕоигсе мер Бгомзег, йеѕівпеа Фог ѕ+апаагаѕ 
сотр1іапсе, регфогтапсе апа рог+арі1і+у. 


Помимо информации, полученной из самого имени пакета, параметр -ді (даегу 
шЮгтайоп) позволяет увидеть, кто создал пакет (проект Еейога), когда он был со- 
бран и когда установлен. Перечисляются также группа, в которой находится пакет 
(не указано), его размер и лицензия. Чтобы узнать больше о пакете, ОВІ -адрес 
указывает на его страницу в Интернете, а строки ѕиттагу и реѕсгірёіоп сообщают, 
для чего он используется. 


Откуда берутся файлы ВРМ 


Программное обеспечение для дистрибутивов Глпах или созданное для работы 
с ними поставляется из тысяч проектов с открытым исходным кодом. Эти проекты 
называются ирѕігеат 50 шате ртооійетѕ, они обычно создают доступное для всех 
программное обеспечение на определенных условиях. Дистрибутив Глпах берет ис- 
ходный код и встраивает его в двоичные файлы. Затем он собирает документацию, 
файлы конфигурации, скрипты и другие компоненты от поставщика и соединяет 
с двоичными файлами. После этого пакет КРМ собирается и подписывается (что 
позволяет пользователям проверить его), затем добавляется в хранилище КРМ 
для конкретных дистрибутива и архитектуры (32-разрядная х86, 64-разрядная х86 
ит. д.). Репозиторий размещается на установочном СО или РУО либо в каталоге, 
доступном в качестве ЕТР-сервера, веб-сервера или сервера МЕ$. 


Установка файлов ВРМ 


В начальную установку систем Еейога или Ве Нас Ерѓегргіѕе Глпих входит много 
пакетов ВРМ. После установки Глпих можно добавлять пакеты с помощью окна 
Ѕоймаге (Центр приложений), как было описано ранее. (См. главу 9, чтобы узнать, 
как устанавливать систему Гіпих.) 

Первым инструментом, разработанным для установки пакетов КРМ, была ко- 
манда грт. С ее помощью можно устанавливать, обновлять, запрашивать, проверять 
и удалять пакеты КРМ. Однако у команды есть серьезные недостатки. 


® Зависимости. Большинство пакетов КРМ в системе станут работать, только 
если установлено другое программное обеспечение (библиотека, исполняемые 
файлы и т. д.). Если такого ПО в системе нет, то при попытке установить пакет 
с помощью грт установка не будет выполнена и система сообщит, какие ком- 
поненты ей для этого необходимы. После этого еще нужно покопаться, чтобы 
найти, какой пакет содержит нужный компонент. А этот пакет тоже может от 
чего-то зависеть, и потребуется это что-то установить, чтобы все заработало. Эту 
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ситуацию с любовью называют адом зависимостей и часто используют в каче- 
стве аргумента, когда говорят, что ОЕВ-пакеты были лучше КРМ. Инструменты 
РЕВ создавались для автоматического определения всех зависимостей пакетов 
задолго до того, как до этого дошли инструменты КРМ. 


е Местоположение файлов КРМ. Команда гри ожидает, что при установке файла 
КРМ вы укажете его точное местоположение. Другими словами, вам пришлось бы 
предоставить команде параметр ҒігеҒох-67 .0-4.с30.х86 64. рт, если бы КРМ 
находился в текущем каталоге, или ехатр1е .сот/1гефох-67.0-4.+с30.х86_64.грт, 
если бы он был на сервере. 


По мере роста популярности Кеа На Ііпих и других приложений, основанных 
на ВРМ, стало очевидно, что необходимо сделать установку пакетов более удобной. 
Для этого была создана функция УОМ. 


Управление пакетами КРМ с помощью ҮОМ 


Проект УеЙоюПоя Ор4шет Мойе4 (ҮОМ) создавался для упрощения процесса 
управления зависимостями пакетов КРМ. От него требовалось, чтобы пакеты КРМ 
перестали считаться отдельными компонентами, а стали частями более крупных 
репозиториев программного обеспечения. 

Что касается репозиториев, то решать проблему с зависимостями должен 
не пользователь, установивший программное обеспечение, а дистрибутив Глпих 
или сторонний распространитель, который выкладывает его для всеобщего доступа. 
Так, например, проект Еейога должен удовлетвориться тем, что каждый компонент, 
необходимый каждому пакету в его дистрибутиве Глпих, разрешен каким-либо 
другим пакетом в репозитории. 

Репозитории также могут основываться друг на друге. Например, если пользо- 
ватель работает в репозитории грифи$1оп . огр, значит, он уже имеет доступ к основ- 
ному репозиторию ЕеЧога. Если пакет, установленный из гприфи$1оп .огв, требует 
библиотеки или команды из основного репозитория Еейога, то пакет Еейога можно 
загрузить и установить одновременно с установкой пакета из гртиѕіоп. оге. 

Репозитории уит можно разместить в каталоге на веб-сервере (ћір://), ЕТР- 
сервере (Ёр://), локальном носителе, таком как СО или Рур, или в локальном 
каталоге (#1е://). Расположение этих репозиториев будет храниться в системе 
пользователя в файле /еёс/уит. соп# или чаще в отдельных файлах конфигурации 
в каталоге /еёс/уит.героѕ.а. 


Переход от уит к ап! 


Интерфейс командной строки ап# представляет собой следующее поколение УОМ. 
Пакетный менеджер ОМЕ, или Дапёййеа ҮСОМ (оїһиБ.сот/грт-ѕо#маге-тападетепі/ 
апЕ/), является частью Ее4ога, начиная с 18-й версии, и недавно был добавлен 
в КНЕГ 8. Как и ушт, ап — это инструмент для поиска, установки и запроса пакетов 
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ВРМ, добавленных из удаленных репозиториев программного обеспечения в ло- 
кальную систему Глпих, и управления ими. 

Хотя ап поддерживает базовую совместимость командной строки с уит, одно 
из его главных отличий заключается в том, что он придерживается строгого АРТ, 
который помогает разрабатывать расширения и плагины для ап. 

Для наших целей почти все команды уит, описанные в этой главе, можно заме- 
нить на ап+ или использовать так, как они даны. Команда уит — это символическая 
ссылка на ап в Еедога и ВКНЕГ, поэтому ввод любой команды приводит к одному 
и тому же результату. См. больше дополнительной информации о ОМЕ на странице 
ОМЕ: апгеаедос$.10. 


Как работает команда ушт 


Основной синтаксис команды уипт выглядит так: 


# уит [параметры] команда 


С помощью этого синтаксиса можно найти пакеты, просмотреть информацию 
о них, узнать о группах пакетов, обновить или удалить пакеты, и это еще не все 
функции команды. Из репозитория ҮОМ и локальной конфигурации пользователь 
может установить пакет, просто набрав что-то вроде следующего: 


# уит 11$%а11 ҒігеҒох 


Пользователю нужно знать только имя пакета (его можно запросить разными 
способами, как описано в разделе «Поиск программных пакетов» далее в этой 
главе). Функция ҮОМ находит последнюю версию этого пакета, доступную в ре- 
позитории, загружает его в локальную систему и устанавливает. 

Чтобы изучить возможности функции УОМ и настроить ее для своей системы, 
воспользуйтесь планом установки У ПМ, описанным далее. 


ПРИМЕЧАНИЕ 


В последних версиях систем Еедога и ВНЕ: файлы конфигурации УМ фактически являются ссылками на файлы 
ОМЕ в каталоге /е{</ЧпЕ. Помимо основного файла конфигурации пЁ (/е{«/Чп/ЧпЕсоп®), этот каталог содержит 
в основном модули и плагины, которые расширяют возможности управления пакетами ВРМ. 


1. Проверка каталога /еіс/уит.сопЁ. При запуске любой команды уит проверяет 
файл /еёс/уит. соп+ на наличие настроек по умолчанию. Файл /еёс/уит. соп+ — 
это основной файл конфигурации ҮОМ. Он помогает определить местоположе- 
ние репозиториев, хотя чаще всего идентификация репозиториев происходит 
через каталог /еёс/уит. героз.4. Пример файла /е%с/уит. соп# в системе КНЕГ. 8 
с добавлением других файлов: 

[таіп] 
врёспеск=1 
іпѕёа11оп1у 1імі=3 
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с1еап_геди1гетеп*$_оп_гетоме=Тгие 
бреѕ+=Тгие 


сасйеЯ1г=/уаг/сасйе/уит/$Базеагсп/$ге1еазеуег 
Кеерсасһе=@ 

аебрив1еме1=2 

102111е=/\уаг/1о5/учцт. 105 

ехасфагсй=1 

р1и21п$=1 


Параметр вреспеск используется для проверки каждого пакета по ключу созда- 
телей пакета КРМ. Значение установлено по умолчанию (ересһеск=1). Для па- 
кетов в Еедога или ВНЕТ. ключ для проверки всех пакетов поставляется вместе 
с дистрибутивом. Чтобы установить пакеты, не принадлежащие вашему дис- 
трибутиву, нужно либо импортировать ключ для проверки этих пакетов, либо 
отключить эту функцию (ересһеск=@). 


Параметр 1п5{а11_оп1у11т1{=3 позволяет хранить в системе до трех версий од- 
ного и того же пакета (не устанавливайте меньшее значение, чтобы всегда были 
доступны по крайней мере два пакета ядра). Параметр с1еап_геди1гетеп$_оп_ 
гетоуе=Тгие указывает команде уит удалить зависимые пакеты вместе с основ- 
ным, если они не требуются. Параметр 6е5*=Тгие ищет последнюю доступную 
версию для обновления пакета. 


Другие параметры, которые можно добавить в файл уип. соп+, сообщают ҮОМ, 
где хранить файлы кэша ( /уаг/саспе/уит) и записи журнала (/уаг/1ов/уип.10в) 
и хранить ли файлы кэша после установки пакета (ё — хранить не нужно). Зна- 
чение параметра деБиё1еуе1 в файле уип. соп# можно увеличить, чтобы получать 
более подробные описания в файлах журнала. 


Далее видно, следует ли точно использовать архитектуру (х86, х86 64 ит. д.) 
при выборе пакетов для установки (1 означает «да») и нужно ли использовать 
плагины (1 означает «да» ) для черных и белых списков или для подключения 
пакетов к Кеа Нас М№ебуогК. 


Чтобы узнать о других функциях файла уит. соп, введите команду тап уит. соп. 


Проверка файлов /еіс/уит.героѕ.ӣ/*.геро. Репозитории программного 
обеспечения можно включить, перекинув файлы, заканчивающиеся на .геро, 
в каталог /еёс/уит. героѕ./, который указывает на расположение одного или 
нескольких репозиториев. В Ее4ога даже базовые репозитории Еедога включа- 
ются из файлов .геро в этом каталоге. Пример простого файла конфигурации 
уит с именем /еЁс/уит. геро$ .4/тугеро .геро: 

[тугеро] 

пате=Му героѕібогу о{ ѕоҒёмаге расКазе$ 

Базеиг1=Н р: //тугеро .ехатр1е. сот/риб/тугеро 

епаб1ед=1 


вресһеск=1 
=рёКеу=Е11е : // /еёс/ркі/грт-ере/ мМҮОММКЕҮ 
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Каждая запись в репозитории начинается с имени репозитория в квадратных 
скобках. Строка пате содержит удобочитаемое описание репозитория. Строка 
Базеиг1 определяет каталог, содержащий файлы КРМ, которые могут быть за- 
писаны как Ира: //, Ғёр:// или Ғі1е://. 


Строка епаб1 ед сообщает, активна ли запись: 1 — активна, ё — неактивна. Если 
этой строки нет, то запись активна. Последние две строки в коде указывают, 
следует ли проверять подписи пакетов в этом репозитории. Строка ервкеу ото- 
бражает расположение ключа, который используется для проверки пакетов 
в репозитории. 


Вы можете включить столько репозиториев, сколько захотите. Однако имейте 
в виду, что с помощью команд уит проверяется каждый репозиторий и мета- 
данные обо всех пакетах загружаются в локальную систему. Поэтому для более 
эффективной и быстрой работы не включайте все репозитории сразу. 


3. Загрузка пакетов КРМ и метаданных из репозитория УСМ. После того как 
уит определит расположение репозиториев, метаданные каждого репозитория 
из каталога герода*а загружаются в локальную систему. На самом деле именно 
наличие каталога геродака в каталоге КРМ указывает на то, что это репозито- 
рий ҮОМ. 


Метаданные хранятся в локальной системе в каталоге /маг/сасһе/уит. Любые 
дальнейшие запросы о пакетах, группах пакетов или другой информации из 
репозитория собираются из кэшированных метаданных до тех пор, пока не ис- 
течет период ожидания. 


После этого уот извлекает свежие метаданные, если выполняется команда 
учит. По умолчанию период ожидания составляет 6 часов для уим и 48 часов 
для ап+. Его можно изменить, установив параметр теёада+а_ехріге в файле 
/ефс/учт. соп. 


Затем уит просматривает пакеты, которые нужно установить, и проверяет, 
нужны ли им какие-либо зависимые пакеты. Когда список пакетов создан, ушт 
спрашивает, можно ли загрузить все эти пакеты. Если согласиться, пакеты 
будут загружены в каталоги кэша и установлены. 


4. Установка пакетов ВРМ в файловую систему. После того как все необходимые 
пакеты будут загружены в каталоги кэша, уит и грт дают команду установить 
каждый пакет. Если пакет содержит предустановленные скрипты (которые 
могут создавать специальную учетную запись пользователя или каталоги), эти 
скрипты запускаются. Содержимое пакетов (команды, файлы конфигурации, 
документы и т. д.) копируется в файловую систему, в места, указанные в мета- 
данных ВРМ. Затем запускаются все сценарии, необходимые после установки 
(розё іпѕќа]). (Такие сценарии запускают дополнительные команды, необходи- 
мые для настройки системы после установки каждого пакета.) 


5. Хранение метаданных репозитория ҮОМ в локальной базе данных КРМ. 
Метаданные, содержащиеся в каждом установленном пакете КРМ, в итоге 
копируются в локальную базу данных КРМ. База данных КРМ содержится 
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в файлах, хранящихся в каталоге /маг/116/грм. После того как информация об 
установленных пакетах окажется в локальной базе данных ВРМ, вы сможете 
выполнять все виды запросов к этой базе данных. Сможете просмотреть, какие 
пакеты установлены, перечислить их компоненты, а также скрипты или жур- 
налы изменений, связанные с каждым пакетом. Вы даже сможете проверить 
установленные пакеты по базе данных КРМ, чтобы узнать, не вмешивался ли 
кто-нибудь в установленные компоненты. 


Команда грт (описана в разделе «Установка, запрос и проверка программ 
с помощью команды грт» далее в этой главе) — это лучший инструмент для 
запроса базы данных КРМ. Вы можете запускать отдельные запросы с помощью 
команды грт, или использовать ее в сценариях для создания отчетов, или вы- 
полнять общие повторяющиеся запросы. 


Теперь вы знаете об основных функциях команды уит и можете настроить си- 
стему Еедога для подключения к основному репозиторию Ееога и репозиторию 
обновлений Ее4ога. А еще — опробовать работу команды уит и установить пакеты. 
И подключить сторонние репозитории УСМ для установки программного обе- 
спечения. 


УУМ и сторонние репозитории 


Репозитории программного обеспечения Ееога и Ве4 Наб Ещегризе Глпах прове- 
ряются на наличие только того программного обеспечения, которое соответствует 
критериям, делающим его открытым и распространяемым. Однако в некоторых 
случаях может понадобиться выйти за пределы этих репозиториев. При этом вы 
должны осознавать, что некоторые сторонние репозитории несколько ограничены. 


® Они могут предъявлять менее жесткие требования к распространению и свободе 
от патентных ограничений, чем репозитории Ее4ога и ВНЕГ. 


® Они могут вызвать конфликты программного обеспечения. 


® Они могут иметь программное обеспечение, которое не является открытым ис- 
ходным кодом, им можно пользоваться бесплатно, но распространять его нельзя. 


® Они могут замедлить процесс установки ваших пакетов, поскольку метаданные 
загружаются для каждого включенного репозитория. 


По этим причинам я рекомендую либо не подключать никаких дополнительных 
репозиториев программного обеспечения, либо включить только репозитории КРМ 
Еиѕіоп (гртѓиѕіоп.огд) для ЕеЧога и ЕРЕТ. (ғеаогаргојесі.ого/\мікі/ЕРЕГ) для Кеа На 
Епќегргіѕе Глпих. КРМ Еиѕіоп представляет собой слияние нескольких популярных 
сторонних репозиториев Еейога (Егеѕһгртѕ, Глупа.оге и ОгіБЫе). Дополнительные 
сведения см. в разделе ЕАО репозитория (гртѓиѕіоп.огд/РҒАЦ). Чтобы подключить 
бесплатный репозиторий КРМ Риз1оп в Еедога, выполните следующие действия. 


1. Откройте окно Тегтіпа! (Терминал). 


Э. Введите команду зи и пароль гоот, когда появится приглашение. 
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3. Введите приведенную далее команду одной строкой без пробела между косой 
чертой и гртёиѕіоп (если не сработает, перейдите в каталог #едога и выберите 
ВРМ, подходящий для вашей версии Ее4ога): 


# грт -Омһћ Вр: //аомп1оаа1. гртиѕіоп.огр/Ғгее/Ғейога/ 
гртҒиѕіоп- Ғгее-ге1еаѕе-ѕіар1е.поагсһ.грт 


Репозиторий КРМ Еиѕіоп Моп#гее содержит кодеки, необходимые для воспро- 
изведения многих популярных мультимедийных форматов. Чтобы подключить его 
в Еедога, введите (вновь одной строкой без пробела между частями): 


# грт -ЦВУ ҺЄр: //аомп1оаа1.гртиѕіоп.огр/попгее/ Ғейога/ 
гртЕиѕіоп-попТгее-ге1еаѕе-ѕ+аБ1е.поагсћ.грт 


Большинство других сторонних репозиториев содержат программное обеспече- 
ние без открытого исходного кода. Например, чтобы установить плагин АЯођБе ЕІаѕћ 
в пих, скачайте пакет с репозиторием ҮОМ из АЯоБе, затем с помощью команды 
уит установите плагин и обновляйте его по мере необходимости командой уит ирдаќе. 


Управление приложениями командой ушт 


Команда уит имеет десятки подкоманд, которые можно использовать для работы 
с пакетами КРМ. В следующих разделах приведены примеры полезных команд ушт 
для поиска, установки, запроса и обновления пакетов, связанных с репозитория- 
ми ҮОМ. В разделе «Установка и удаление пакетов» описано, как устанавливать 
и удалять пакеты с помощью команды уип. 


ПРИМЕЧАНИЕ 


Метаданные, описывающие содержимое репозиториев ҮМ, загружаются из каждого подключенного репозито- 
рия УМ при первом запуске команды уит. Метаданные загружаются снова по истечении времени, заданного 
в параметре теїадаќа_ехріге. Чем больше ҮОМ-репозиториев подключено и чем они обширнее, тем больше вре- 
мени может занять загрузка. Время загрузки можно сократить, увеличив срок действия (в файле /еїс/ушт.сопё) 
или не подключая ненужные репозитории. 


Поиск программных пакетов 


Различные подкоманды поиска находят пакеты по ключевым словам, содержимому 
или другим атрибутам. 

Допустим, вы хотите попробовать другой текстовый редактор, но не можете 
вспомнить его название. Начните с подкоманды зеагсй и введите команду ейіёог 
для поиска редактора в названии или описании: 


# уит ѕеагсһ еді+ог 
ес1ірѕе-уейі+ог.поагсһ : Ес1ірѕе-баѕеа Мегі1ор/\№Нрі р1иріп 


еа.х86 64 : Тһе СМУ 1іпе ед1Фог 
етасѕ.х86 64 : СМУ Етас$ ех ейі+ог 
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В результате поиска появляется длинный список пакетов, содержащих слово 
е41+ог в названии или описании. Допустим, нам нужен редактор етасѕ. Чтобы по- 
лучить информацию об этом пакете, можно использовать подкоманду іпёо: 


# уит іпҒо етас$ 


Мате : етас$ 

Еросһ :1 

Мегѕіоп : 26.2 

Ке1еаѕе : 1.#с30 

Агсһі+есіиге : х86 64 

Ѕіғе : 3.2 М 

5оигсе : етасѕ-26.2-1.#с30.5гс.грт 
Веро$1огу : ираа+еѕ 

Ѕиттағгу : СМО Етасѕ бех еаі+ог 

ОК : Пеер: //ммм. епи. огр/ ѕоҒмаге/емасѕ/ 
іісепѕе : СРім3+ апа СС9-1.09 

Рреѕсгірёіоп : Етасѕ 15 а ромегфи1, сиѕ+отіғаБ1е, ѕе1#-аоситепёіпе, тойе1еѕ55 Тех 


: еаітог. Етасѕ сопфа1п$ ѕресіа1 сое ейіїіпе Ғеаигеѕ, а ѕсгірііпе 
: Таприаре (е115р), апа {Пе сараб111%у Фо геаа та11, пемѕ, апа тоге 
: міһоиЁ Іеауіпе Ве ед1ог. 


Если вы знаете имена нужных команды, файла конфигурации или библиотеки, 
но не знаете, в каком пакете они находятся, используйте подкоманду рго\1ае$ для 
поиска пакета. В примере видно, что команда а\уагесога является частью пакета 
моа1т: 


# уит ргоуійеѕ амагесога 
модӢіт-1.1.11-41.#с30.х86 64 : А соттапа 1іпе Ср/рур гесога1пё рговгат 


Керо : Ғедога 
Маєсһеа #Ғгот: 
Рі1епате : /иѕг/біп/амагесога 


Подкоманда 1154 применяется для перечисления имен пакетов различными 
способами. Используйте ее с базовым именем пакета, чтобы найти версию и репо- 
зиторий. Вы можете перечислить только пакеты, которые доступны (амаі1аб1е), 
или установлены (іпѕёа11еа), или все (а11): 


# уит 1151 етас$ 


емасѕ.1686 1:26.2-1.#с30 ираа+еѕ 

# ушт 115% амаі1аЬ1е 

Супі. 1686 2.1.3-17.е18 гһе1-8-+ог-х86 64-аррѕёгеат-гртѕ 
Супі. х86 64 2.1.3-17.е18 гһе1-8-+ог-х86 64-аррѕігеат-гртѕ 
ССоп+#2.1686 3.2.6-22.е18 гһе1-8-+ог-х86 64-аррѕігеат-гртѕ 
[16Кам. 1686 0.19.1-1.е18 гһе1-8-Ғог-х86 64-аррѕ&геат-грт 


# уит 1151 іпѕіа11еа 

Іпѕ+а11еа Раскареѕ 

ССоп#2.х86 64 3.2.6-22.е18 @Арр5{геат 
МодетМапарег.х86 64 1.8.0-1.е18 @апасопаа 


# ушт 115% а11 
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Чтобы посмотреть, от каких компонентов зависит пакет, используйте подко- 
манду дер11іѕ+. Команда дер115+ отображает компоненты (зависимости), а также 
пакет, в который входит этот компонент (имя поставщика). Команда позволяет 
найти нужный компонент в других репозиториях, если в пакетах системы его нет, 
например: 

# уит 4ер11$4 етасѕ | 1еѕ5 
раскаре: етасѕ-1:26.1-8.#с30.х86 64 
аерепӣепсу: /біп/ѕһ 

ргоміаег: Баѕћ-5.0.7-1.#с30.1686 

ргоміаег: бБаѕћ-5.0.7-1.#с30.х86 64 

аерепӣепсу: /иѕг/ѕбіп/а1+егпаімеѕ 

ргоміаег: а1+егпа+імеѕ-1.11-4.#с30.х86 64 


Установка и удаление пакетов 


Подкоманда іпѕёа11 позволяет установить один или несколько пакетов вместе 
с любыми зависимыми пакетами. Команда учт іпѕ&а11 ищет несколько репозито- 
риев для загрузки необходимых зависимостей, например: 


# ушт іпѕ+а11 етасѕ 


Раскаре АгсИ1фесфиге Мегѕіоп Кероѕіїогу $17е 


Іпѕ&а11іпе: 

етас$ х86_64 1:26.2-1.#с30 ирааёеѕ 3.2 М 
Іпѕёа11іпе Яерепӣепсіеѕ: 

етас$ - соттоп х86 64 1:26.2-1.#с30 ираа+еѕ 38 М 
ІтареМаріск-116ѕ х86 64 1:6.9.10.28-1.+с30 Еедога 2.2 М 
ҒҒм-1165-аоиБ1е х86 64 3.3.8-4.#с30 федога 984 К 


Тгапѕасёіоп Ѕиттагу 


Тп${а11 7 Раскареѕ 


Тофа1 аолп1оаа ѕіғе: 45 М 
Іпѕ+а11еа $17е: 142 М 
Іѕ +һіѕ ок [у/\]: у 


В примере видно, что етасѕ требует загрузки пакета етасѕ- соттоп и еще не- 
скольких и все они стоят в очереди на установку. Шесть пакетов вместе требуют 
45 Мбайт для загрузки, но впоследствии будут использовать 142 Мбайт. Нажмите 
клавишу у, чтобы установить пакеты. Введите параметр -у в командную строку 
(сразу после команды уит), чтобы не нажимать клавишу у для установки пакетов. 
Лично я предпочитаю видеть все пакеты, которые будут установлены, прежде чем 
соглашусь на это. 

Вы можете переустановить пакет, если по ошибке удалили компоненты уже 
установленного. Если попытаетесь выполнить обычную установку, система отве- 
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тит, что изменений не требуется. Вместо этого примените подкоманду геіпѕ&а11. 
Предположим, вы установили пакет 251, а затем случайно удалили файл /Ььіп/25һ. 
Недостающие компоненты можно восстановить, набрав следующее: 


# ушт геіпѕ&а11 25һ 


Можно удалить пакет вместе с его зависимостями, которые не требуются другим 
пакетам, с помощью подкоманды гетоуе. Например, чтобы удалить пакет етас$ 
и его зависимости, введите: 


# уит гетоме етасѕ 
Кетоуіпе : 
етас$ х86_64 1:26.2-1.#с30 ираа+еѕ 38 М 


Кетоуіпе ипиѕеа дерепаепс1ез: 


ІтареМаріск-1165 х86 64 1:6.9.10.28-1.+с30 Ғейога 8.9 М 
етас$ - соттоп х86_64 1:26.2-1.#с30 ираа+еѕ 89 М 
Ғ#м-1165-аоиб1е х86 64 3.3.8-4.#с30 Ғедога 4.2 М 


Тгапѕасёіоп Ѕиттагу 


Ветоме 7 Раскарвеѕ 


Егееа ѕрасе: 142 М 
Іѕ +һіѕ ок [у/№]: у 


Обратите внимание на то, что используемая память, указанная для каждого 
пакета, является фактической (именно столько места пакет занимает в файловой 
системе), а не размером, указанным при загрузке (он значительно меньше). 

Еще один способ удалить набор установленных пакетов — подкоманда һіѕёогу. 
С ее помощью можно увидеть все действия команд уит и отменить все транзакции. 
Другими словами, все установленные пакеты можно удалить, применив параметр 
ипао подкоманды һіѕ+огу, как показано в следующем примере: 


# ушт һіѕ+огу 
Ір | Соттапа 1іпе | рае апа ёіте | Асёіоп(5ѕ) | А1+егеа 


12 | 1п5%а11 етасѕ | 2019-06-22 11:14 | Іпѕ+а11 | 7 


# ушт һіѕ+огу іпҒо 12 
Тгапѕасёіоп Ір : 12 


Соттапа ііпе : 11056а11 етасѕ 


# уит И15Фогу ипдо 12 
Џпаоіпв фгапзас1опт 12, гот Ѕа+ 22 Јип 2019 11:14:42 АМ Ерт 


Іпѕа11 етасѕ-1:26.2-1.#с30.х86 64 @ираа+еѕ 
Тп${а11 етасѕ-соттоп-1:26.2-1.#с30.х86 64 @ираа+еѕ 
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Прежде чем отменить транзакцию, ее можно просмотреть, чтобы точно узнать, 
какие пакеты были задействованы. Это позволит избежать ошибок и не удалить 
нужные пакеты. Отменив транзакцию 12, вы удаляете все пакеты, установленные 
во время нее. Чтобы отменить установку, которая включала десятки или даже 
сотни пакетов, используйте именно подкоманду ипдо. 


Обновление программных пакетов 


По мере появления новые версии пакетов помещаются в отдельные репозитории 
обновлений или просто добавляются в исходный репозиторий. Если доступны 
несколько версий пакета (в одном репозитории или в другом подключенном ре- 
позитории), уит предоставляет последнюю версию при установке. Для некоторых 
пакетов, таких как пакет ядра пих, можно сохранить несколько версий. 

Если новая версия пакета появится позже, ее можно загрузить и установить 
с помощью подкоманды ирааќе. 

Подкоманда сНеск-ирдаее проверяет наличие обновлений. Подкоманда ирӣаќе 
используется для обновления как одного пакета, так и нескольких сразу, для кото- 
рых в данный момент имеется обновление. Или можно просто обновить один пакет 
(например, пакет сирѕ), как в этом примере: 


# уит сһеск-ираа+е 


Ғі1е.х86 64 5.36-3.#с30 ираа+еѕ 
Ғі1е-1105.х86 64 5.36-3.#с30 ираа+еѕ 
ҒігеТох.х86 64 67.0.4-1.#+с30 ирЯӣа+еѕ 
Ғігема11а.поарсһ 0.6.4-1.#с39 ираа+еѕ 


# уит ирӣа+е 
Рререпӣепсіеѕ гезо1уед. 


Раскаре Агсһ Мегѕіоп Кероѕі+огу $17е 
Орвгааіпе : 

МеёмогКМапавег х86 64 1:1.16.2-1.#с30 ирӣа+еѕ 1.7 М 

МемогКМапаврег-аӣѕ1 х86 64 1:1.16.2-1.#с30 ирӣаїеѕ 25 К 


Тгапѕасёіоп Ѕиттагу 


Тп${а11 7 Раскареѕ 
Орёгафде 172 РасКаве($) 
Тофа1 аомп1оаа $17е: 50 М 
Іѕ +һіѕ ок [у/\]: у 

# уит ирӣа+е сирѕ 


Команда сһеск-ирда+е запросила обновление пакета сирѕ. Если для обновления 
сирѕ необходимо обновить другие зависимые пакеты, то они также будут загру- 
жены и установлены. 
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Обновление групп пакетов 


Чтобы упростить управление несколькими пакетами сразу, УОМ позволяет ис- 
пользовать группы пакетов. Например, можно установить целиком СМОМЕ 
Пезкор Епуігоптепе (весь рабочий стол) или Уігіџаіхабіор (все пакеты, необ- 
ходимые для настройки компьютера в качестве хоста виртуализации). Начните 
с запуска подкоманды вгоир11ѕ, чтобы увидеть список имен групп: 
# уит ёгоир11ѕ1 | 1еѕ5 
Аүаі1аб1е Епу1гоптепЕ бгоирѕ: 

Редога Сиѕёот Орегаёіпе ЅуѕТет 


Міпіта1 Іпѕёа11 
Редога Ѕегуег Еаібіоп 


Іпѕ+а11еа бгоирѕ: 
Ііргео++ісе 
СМОМЕ реѕкъор Епуігоптеп& 
Ропф$ 


Аүаі1аб1е бгоирѕ: 
Аиёһогіпе апа Риб1іѕһіпе 
Воокѕ апа Сбиідеѕ 
С Оеуе1ормепе Тоо15 апа ііргагіеѕ 


Допустим, вы решили попробовать другую среду рабочего стола и хотите узнать, 
что находится в группе ІХРЕ. Для этого используйте подкоманду ргоиріп+о: 


# уит ргоиріпто ЕХОЕ 

бгоир: ЕХОЕ 
Резсг1рЕ1оп: ЕХОЕ 1$ а 11=/ме1ейе Х11 аеѕкёор епу1гоптеп*... 
Мапдафогу РаскКавез : 


]1хде-соттоп 
1 хат 
1хіпри+ 
1х1аипсһег 
1хтепи-Яа+а 


В дополнение к описанию группы вгоир1п+о показывает пакеты Мапдафогу 
Раскарез (обязательные, которые всегда устанавливаются вместе с группой), Беаи1+ 
Раскавеѕ (те, что установлены по умолчанию, но могут быть исключены) и Ортіопа1 
Раскавеѕ (необязательные, которые являются частью группы, но не установлены 
по умолчанию). С помощью инструментов с графическим интерфейсом для уста- 
новки групп пакетов можно отключить установку пакетов по умолчанию (ре#аи1& 
Раскавеѕ) или изменить установку дополнительных (Орёіопа1 Раскареѕ). 

Чтобы установить группу пакетов, используйте подкоманду вгоир1п$4а11: 


# ушт ргоиріпѕ+а11 ЕХОЕ 
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В примере подкоманда вгоир1п$+а11 установила 101 новый пакет и обнови- 
ла пять установленных. Чтобы удалить всю группу сразу, задействуйте подкоман- 
ду вгоиргето\уе: 


# уит ргоиргетоме ЕХОЕ 


Базы данных и кэш пакетов ВРМ 


Несколько подкоманд ушт помогают выполнять задачи обслуживания, например 
проверку наличия проблем с базой данных КРМ или очистку кэша. В ҮОМ есть 
инструменты для обслуживания пакетов ВРМ и обеспечения эффективности и без- 
опасности ПО системы. 

Время от времени необходимо очищать кэш. Если сохранить загруженные 
пакеты после их установки (по умолчанию они удаляются благодаря параметру 
Кеерсасһе=0 файла /еес/уит. соп+), то каталоги с кэшем (в каталоге /маг/сасйе/уит) 
могут заполниться. Метаданные, хранящиеся в каталогах кэша, можно очистить, 
что вызовет загрузку свежих метаданных из всех подключенных репозиториев 
УЧМ при следующем запуске уот. Варианты очистки кэша: 


# уит с1еап раскағеѕ 
14 +11е5 гетоуеа 

# уит с1еап те+ада+а 
Сасһе маз ехрігеа 
16 Ғі1еѕ гетоуеа 

# уит с1еап а11 

68 +11е5 гетоуеа 


Вполне возможно, хотя и маловероятно, что база данных ВРМ окажется по- 
вреждена. Это может случиться, если во время установки пакета произойдет что-то 
неожиданное, например внезапное отключение системы. Вы можете проверить базу 
данных КРМ на наличие ошибок (уит сһеск) или просто перестроить ее файлы. 
Пример поврежденной базы данных КРМ и команда грт, которая используется 
для ее исправления: 


# уит сһеск 

еггог: 965 еггог(11) Ғгот Ябепу->ореп: Кезоигсе фетрогаг11у 
ипауа11аб1е 

еггог: саппоф ореп Раскареѕ 1п4ех из1пё а65-Кезоигсе фетрогаг11у 
ипауаі1аб1е(11) 


еггог: саппоё ореп Раскареѕ дафабазе іп /маг/1ір/грт 
Еггог: Еггог: гртаб ореп +а11еа 

# грт --гериі1ааь 

# уит сһеск 


Здесь команда уит с1еап удаляет кэшированные данные из подкаталогов /маг/ 
саспе/уит. Команда грт --периї1ааь перестраивает базу данных. Команда уит сһеск 
проверяет наличие проблем с локальным кэшем ВРМ и базой данных, но обрати- 
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те внимание на то, что для устранения этой проблемы в примере использовалась 
команда гри. 

В общем, для работы с локальной базой данных КРМ лучше всего подходит 
команда гри. 


Загрузка КРМ-пакетов из репозитория ҮОМ 


Если вы хотите просмотреть пакет, не устанавливая его, можете загрузить его с по- 
мощью команды ап+ или уитдомп1оааег (для более ранних версий). В любом случае 
пакет будет загружен из репозитория ҮОМ и скопирован в ваш текущий каталог. 
Например, чтобы загрузить последнюю версию пакета Еігеѓох с помощью 
команды уитаомп1оадег из репозитория ҮОМ в текущий каталог, введите: 


# уитаомп1Тоадег ҒігеҒох 
Ғіге+ох-67.0.4-1.#с30.х86 64. грт 6.1 МВ/ѕ | 92 МВ 00:14 


Чтобы использовать команду ап, введите следующее: 


# апғ аомп1оаа ҒігеҒох 
ҒігеҒох-60.7.0-1.618 0.х86 64.грп 6.1 МВ/ѕ | 93 МВ 00:15 


Когда загруженный пакет КРМ добавлен в текущий каталог, можно применять 
для него различные команды грт, как описано в следующем разделе. 


Установка, запрос и проверка программ 
с помощью команды грт 


В локальной базе данных КРМ содержится огромное количество информации об 
установленных пакетах. Команда гри имеет десятки параметров, позволяющих 
найти сведения о каждом пакете, например о файлах, которые он включает, о том, 
кто его создал, когда он был установлен, его размере и многих других атрибутах. 
Поскольку база данных содержит скрытые данные (Ғіпвегргіпёѕ (ті5ѕитѕ)) о каж- 
дом файле в каждом пакете, их можно запросить с помощью ВРМ, чтобы узнать, 
были ли файлы изменены. 

Команда грт все еще может выполнять основные действия по установке и об- 
новлению, хотя большинство людей используют ее так, только когда в локальном 
каталоге находится готовый к установке пакет. Итак, опробуем работу команды. 
Для загрузки последней версии пакета 25ћ введите следующую команду: 


# апғ аомп1оаа 2$ 
251-5.5.1-6.е18.х86 64.грт 3.0 МВ/$ | 2.9 МВ 00:00 


Когда пакет 251 будет загружен в текущий каталог, выполните на нем несколько 
команд грм. 
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Установка и удаление пакетов с помощью команды грт 


Чтобы установить пакет с помощью команды грм, введите: 


# грт -1 25-5.5.1-6.е18.х86 64.грт 


Обратите внимание на то, что для установки с помощью грт задается полное 
имя пакета, а не только базовое. Если ранее пакет 25ћ был установлен, его можно 
обновить с помощью параметра -0. Во время обновления можно также использо- 
вать параметры -һ и -\ для вывода хештегов и более подробной информации: 


# грт -УПУ 2$1-5.5.1-6.е18.х86_64.грт 

МегіҒуіпр... ННННННННННННННННННННННННЕ [100%] 

Ргераг1п5... ННННННННННННННННННННННННЕ [100%] 
1:751-5.5.1-6.е18 #ЕНННННННННННННННННННННЕ [1007] 


Установка (іпѕ+а11, параметр -1) загружает пакет только в том случае, если он еще 
не установлен, а вот обновление (ирвгаае, параметр -О) устанавливает его в любом слу- 
чае. Третий тип установки (Ғгеѕћеп, параметр -Е) загружает пакет только в том случае, 
если на компьютере имеется более ранняя версия, как в следующем примере: 


# грт -Еһм *.грт 


Используйте параметр #геѕћһеп (-Е), если находитесь в каталоге, содержащем 
тысячи КРМ, но хотите обновить только уже установленные (более ранней версии) 
и пропустить неустановленные. 

К любому из вариантов установки можно добавить другие интересные параме- 
тры. Параметр --гер1асеркеѕ позволяет переустановить существующую версию 
пакета (если, например, вы ошибочно удалили некоторые компоненты), а параметр 
- -о1ӣраскаве позволяет заменить пакет более ранней версией: 


# грт -Оћм --гер1асеркеѕ етасѕ-26.1-5.е18.х86 64. грт 
# грт -Оһм --о1араскаре 25һ-5.0.2-25.е17_3.1.х86 64.грт 


Удалить пакет можно с помощью параметра -е. Для этого необходимо только 
его базовое имя, например: 


# грт -е етас$ 


Команда грт -е етасѕ будет успешно выполнена, поскольку никакие другие 
пакеты не зависят от етас$. Однако для команды етас$ -соттоп это не сработает, 
так как пакет зависит от етасѕ. Если бы сначала попытаться удалить етасѕ- соттоп, 
команда завершилась бы ошибкой с сообщением "Еаі1еа дерепӣепсіеѕ". 


Запрос информации с помощью команды грт 


После установки пакета можно запросить сведения о нем. С помощью параметра -4 
вы можете просмотреть информацию о пакете, включая описание (-ді), список 
файлов (-41), документацию (-аа) и конфигурационные файлы (-4с): 
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# грт -41 251 


Мате : 25һ 
Мегѕіоп 75.511 
Ке1еаѕе : 6.е18 


# грт -41 251 
/еёс/ѕКе1/.25һгс 
/еёс/210оріп 
/еёс/21орои+ 


# грт -44 251 
/чзг/Паге/дос/251/ВУв$ 
/иѕг/ѕһаге/аос/25/ СОМТКІВОТОКЅ 
/иѕг/ѕһаге/аос/25һ/ҒАО 


# грт -дс 25 
/еёс/ѕКе1/.25һгс 
/еёс/210оріп 
/еёс/21орои+ 


Используйте параметры для запроса любой части информации, содержащейся 
в КРМ. Вы можете узнать, что требуется КРМ для установки (--геди1гетеп*$), 
какую версию программного обеспечения пакет предоставляет (- -ргоуійеѕ), ка- 
кие сценарии запускаются до и после установки или удаления КРМ (--ѕсгірёѕ) 
и какие изменения были внесены в КРМ (--сНапзе1ов): 


# грт -4 --геди1ге$ етас$-соттоп 
/ріп/ѕћ 

/иѕг/біп/рке-соп+ів 
/иѕг/ѕріп/а1+егпаћімеѕ 


# грт -4 --ргомідеѕ етасѕ- соттоп 
сопғіре (етасѕ - соттоп) = 1:26.2-1.#с30 
етасѕ - соттоп = 1:26.2-1.#с30 
етасѕ- соттоп (х86-64) = 1:26.2-1.#с30 
етасѕ-е1 = 1:26.2-1.#с30 
ркесоп+ір(етасѕ) = 1:26.2 
# грм -а --ѕсгірѕ һі+ра 
роѕїіпѕёа11 ѕсгірё1еї (иѕіпе /Біп/ѕһ): 
1+ [ $1 -ед 1 ] ; еп 
# Іпібіа1 іпѕа11а+іоп 
зуз+етсЕ1 --по-ге1оаа ргезеф ИЕЁра. ѕегуісе... 


грт -4 --сПапре1ор Ира | 1е$$ 

Тһи Мау 02 2019 Тибо ЦН11аг1К <1ий11аг1@геава*.сот> - 2.4.39-4 
Һера дерепаепсу оп іпіёѕсгіріѕ 15 ипѕресіҒіеа (#1705188) 

Тие Арг 99 2019 Зое Огфоп <јогіоп@геаһа+. сот» - 2.4.39-3 


хж+. 


т 
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В двух предыдущих примерах видно, что сценарии внутри пакета Вера ис- 
пользуют команду зу+етсЕ1 для настройки службы Пера. Параметр --сНапре1ор 
позволяет увидеть причины изменений в каждой версии пакета. 

С помощью функции - -дчегу+огта* вы можете запрашивать различные теги 
информации и выводить их в любой понравившейся форме. Запустите параметр 
- -диегуёавѕ, чтобы увидеть все доступные теги: 

# грт --диегу+авѕ | 1е5$ 
АВСН 
АКСНІМЕЅ12Е 


ВАЅЕМАМЕЅ 
ВОСОК 


# грт -а Біпиі15 --диегуҒогта& "Тһе раскаре 1$ {МАМЕ} \ 
апа һе ге1еаѕе 15 #{КЕГЕАЅЕ}\п" 
Тһе раскаре 15 біпи+і15 апа {Не ге1еаѕе 1$ 29.#с30 


Все запросы, сделанные ранее, были направлены в локальную базу данных 
КРМ. Добавив параметр -р к другим параметрам, можно запросить файл КРМ, на- 
ходящийся в вашем локальном каталоге. Параметр -р позволяет заглянуть внутрь 
пакета и проверить его, прежде чем установить в свою систему. 

Если вы еще не установили пакет 231, то сделайте это и поместите его в свой 
локальный каталог (дп+ домп1оа4 25һћ). Затем выполните команды запроса в файле 
КРМ: 


грт -аір 25-5.7.1-1.Е#с30.х86 64.грт Просмотр информации о файле ЕРМ 

грт -а1р 25-5.7.1-1.#с30.х86 64.грт Перечисление всех файлов в файле ВРМ 

грт -аар 25һ-5.7.1-1.#с30.х86 64.грт Просмотр документации 6 файле КРМ 

грт -аср 2$1-5.7.1-1.+#с30.х86_64.грт Перечисление файлов конфигурации 6 файле ЕРМ 


+ + 


Проверка КРМ-пакетов 


С помощью параметра -У можно проверить пакеты, имеющиеся в системе, чтобы 
увидеть, изменялись ли компоненты с момента их установки. Нормально, если 
файлы конфигурации изменяются с течением времени, а вот двоичные файлы (ко- 
манды в /61п, /ѕбіп ит. д.) изменяться не должны. Измененные двоичные файлы 
указывают на то, что система, вероятно, была взломана. 

В приведенном далее примере я установлю пакет 251 и испорчу его. Если вы 
хотите попробовать сделать то же самое, обязательно удалите или переустановите 
пакет, когда закончите: 


# грт -1 25-5.7.1-1.#с30.х86 64.грт 
# есһо һе110о > /61п/7$И 

$ гт /еёс/251гс 

# грт -М 25 

1155112 с /еїс/25һгс 

Е /Ь1п/ 251 
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В примере видно, что файл /61п/2$Н был изменен, а файл /ефс/зНгсН удален. 
То, что на выходе после грт -\ вместо точки появляется буква или цифра, указывает 
на наличие изменений. 

Значения букв, которые могут заменить точки (по порядку): 

5 — изменен размер файла; 

М — изменен режим (включая права и тип файла); 

5 — изменена контрольная сумма МО5; 

р — несоответствие главных и второстепенных номеров устройств; 
і — несоответствие пути геаагіпк(2); 

у — изменение прав пользователя; 

с — изменение прав группы; 


т — время модификации (тТіте) изменено; 


Р — привилегии изменены. 


Эти показатели находятся в разделе Уегіѓу руководства грт. В моем примере 
размер файла изменился ($), контрольная сумма таѕѕит (5) изменена (проверка 
по скрытым данным) и время модификации (Т) в файле отличается. 

Чтобы восстановить исходное состояние пакета, используйте грт с параметром 
- -гер1асеркеѕ, как показано далее. (Команда уит пеіпѕ+а11 25һ будет работать так 
же.) Затем снова проверьте команду с помощью параметра -\. Отсутствие вывода 
из параметра -\ означает, что все файлы вернулись в исходное состояние: 


# грм -1 --гер1асерквѕ 2$1-5.7.1-1.+с30.х86_64.грт 
# грт -М 25И 


Рекомендуется создать резервную копию базы данных КРМ (из файла /маг/ 
116/грт) и скопировать ее на какой-нибудь носитель только для чтения (например, 
СО). Так при проверке пакетов, которые могут быть взломаны, вы будете уверены 
в том, что база данных точно не взломана. 


Управление программным обеспечением 
на предприятии 


На этом этапе вы должны хорошо понимать, как устанавливать, запрашивать 
и удалять пакеты и иным образом манипулировать ими с помощью инструментов 
с графическим интерфейсом, а также команд уим и гри. Для работы с файлами КРМ 
на крупном предприятии эти знания нужно расширить. 

Функции управления пакетами КРМ на предприятии в Веа Наё Ерѓегргіѕе 
Тіпих более сложные, но и более мощные. Вместо одного большого репозитория 
с программами, как в Еейога, КНЕГ. предоставляет программное обеспечение 
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по платной подписке Ве4 Наї с доступом к различным каналам и продуктам 
(ВНЕГ, Кеа Наг Уігіџаіхайоп, Кеа Нас ЗоЁ\аге Соесіїопѕ и т. д.). 

С точки зрения корпоративных вычислений одним из значительных преиму- 
ществ разработки пакетов КРМ является то, что управление ими может быть ав- 
томатизировано. Другие схемы упаковки Глпих позволяют пакетам останавливать 
свою установку и запрашивать информацию, например расположение каталога 
или имя пользователя. Пакеты КРМ устанавливаются без остановки с помощью 
следующих инструментов. 


ә Файлы К1сК$баге. Все вопросы, на которые вы отвечаете во время установки 
вручную, и все выбранные пакеты могут быть добавлены в файл, называемый 
файлом КісеЕѕѓат. При запуске установщика Еедога или Кей Нас Егїѓегргіѕе Глпих 
файл кіскѕ+агё добавляется в командной строке загрузки. С этого момента про- 
цесс установки завершается самостоятельно. Можно внести любые изменения 
в установку пакетов, запустив скрипты до и после установки из файла кіскѕ+аг+, 
например, для добавления учетных записей пользователей или изменения фай- 
лов конфигурации. 


® Среда для загрузки РХЕ. РХЕ-сервер можно настроить так, чтобы клиентские 
компьютеры могли загружать ядро Апасоп4а (инсталлятор) и выбранный файл 
кіскѕ+аг+. Совершенно пустой компьютер с картой сетевого интерфейса (МГС), 
поддерживающей загрузку РХЕ, может просто загрузиться с этой карты, чтобы 
запустить процесс новой установки. Другими словами, включите компьютер, и, 
если он попадает в порядок загрузки МТС, через несколько минут у вас будет 
свежеустановленная система, настроенная автоматически в соответствии с ва- 
шими точными указаниями. 


® Сервер Ѕаќеіќе (инструмент ЗрасемаК). Системы Веа Наё Ещегризе пих 
могут быть развернуты с использованием так называемого сервера баеие 
Ѕегоег — той же функции, которая есть у Ве4 На СОМ для управления и раз- 
вертывания новых систем и обновлений. Системы В.НЕГ. могут быть настроены 
так, чтобы получать автоматические обновления программного обеспечения 
в определенное время со спутникового сервера. Наборы пакетов Еггаба могут 
быть быстро и автоматически развернуты в системах для исправления опреде- 
ленных проблем. 


® Образы контейнеров. Вместо установки в системе отдельных ВРМ-пакетов 
можно упаковать множество пакетов в образ контейнера. Он подобен пакету 
ВРМ в том, что содержит набор программного обеспечения, но, в отличие от 
ВРМ, легче добавляется в систему, запускается и удаляется из нее, чем КРМ. 


Описание того, как использовать файлы кіскѕ+аг?, серверы ЗабеПке Ѕегуег, 
контейнеры и другие готовые к установке функции, не входит в книгу. Но для всех 
этих функций очень важно разбираться в УОМ и КРМ, чего мы пытались достичь 
в этой главе. 
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Резюме 


Упаковка программного обеспечения в Ееога, Кеа Наё Ещегрг1зе Тлпах и свя- 
занных с ними системах обеспечивается с помощью программных пакетов, осно- 
ванных на инструментах КРМ Раскаве Мападег (КРМ). Дистрибутивы Оешап, 
ОЪипќи и связанные с ними системы упаковывают программное обеспечение 
в файлы РЕВ. Вы можете опробовать простые в использовании инструменты 
с графическим интерфейсом, например 5оймаге (Центр приложений), для поиска 
и установки пакетов. Основные инструменты командной строки — команды уит, 
апҒ и грт для систем, связанных с Ве На, а также арќіќиде арё*и арка для систем, 
связанных с ОеЫап. 

С помощью этих средств управления программным обеспечением можно уста- 
навливать, запрашивать, проверять, обновлять и удалять пакеты. Вы также можете 
выполнять задачи обслуживания, такие как очистка файлов кэша и перестройка 
базы данных КРМ. В этой главе описаны многие функции окна боймаге (Центр 
приложений), а также команды уим, дп+ и рт. 

После установки системы и добавления необходимых пакетов программного 
обеспечения пришло время приступить к дальнейшей настройке систем Еедога, 
ВНЕГ, ОеЫап или ОЪипќи. Если системой будут пользоваться несколько человек, 
то очередной задачей будет умение управлять учетными записями. В следующей 
главе описывается управление учетными записями в Еедога, ВНЕТ. и других си- 
стемах Глпих. 


Упражнения 


Эти упражнения позволяют проверить знание работы с программными пакетами 
ВРМ в Еейога или Кеа Наѓ Ерѓегргіѕе Глпих. Для выполнения данных упражнений 
я рекомендую использовать систему Еедота с подключенным Интернетом. (Боль- 
шинство упражнений сработает и в зарегистрированной системе КНЕГ.) 

У вас должен быть доступ к репозиториям Еейога, которые настраиваются ав- 
томатически. Если затрудняетесь с решением заданий, воспользуйтесь ответами 
к упражнениям, приведенными в приложении Б (хотя іпих позволяет решать 
задачи разными способами). 


1. Найдите Уит-репозиторий для пакета, который обеспечивает команду товгіўу. 


2. Отобразите информацию о пакете, содержащем команду мовг1+у, и определите 
домашнюю страницу для него (ОВГ.). 


3. Установите пакет, содержащий команду торг1 у. 


4. Список всех файлов с документацией, находящихся в пакете, содержащем 
команду тозг1 у. 


292 Часть ПТ • Администрирование системы в Ипих 


10. 


С помощью команды сНапре1ов просмотрите изменения пакета, содержащего 
команду товгіў+у. 

Удалите команду товгіғу из системы и проверьте ее пакет по базе данных КРМ, 
чтобы убедиться, что команда действительно удалена. 


Переустановите пакет, содержащий команду товгіўу, и убедитесь, что он не по- 
врежден. 
Загрузите пакет, содержащий команду товгі+у, в текущий каталог. 


Отобразите общую информацию о только что загруженном пакете, запросив 
файл КРМ-пакета в текущем каталоге. 


Удалите пакет, содержащий команду повгі+у, из своей системы. 


Управление учетными 
записями 


В этой главе 


ш Работа с учетными записями пользователей. 
ш Работа с учетными записями групп. 


ш Настройка централизованных учетных записей 
пользователей. 


Добавление пользователей и управление ими — это обычные задачи системных 
администраторов Глпих. Учетные записи пользователей поддерживают границы 
между пользователями системы и процессами, выполняемыми в системах. Груп- 
пы — это способ назначения прав в системе, которые могут быть определены для 
нескольких пользователей одновременно. 

В этой главе описывается создание не только нового пользователя, но и пред- 
определенных параметров и файлов для настройки среды пользователя. С помо- 
щью инструментов, например команд изегада и изегтод, можно назначить такие 
параметры, как расположение домашнего каталога, оболочка по умолчанию, группа 
по умолчанию, а также определенные значения идентификаторов (10) пользова- 
телей и групп. С помощью СоскрЁ вы можете добавлять учетные записи пользо- 
вателей и управлять ими через веб-интерфейс. 


Создание учетных записей пользователя 


Каждый пользователь системы [іпих должен иметь отдельную учетную запись. 
В учетной записи пользователя можно безопасно хранить файлы, а также средства 
настройки пользовательского интерфейса (СОТ, путь, переменные окружения 
ит. д.), соответствующие тому, как используется компьютер. 

В большинстве систем Глпих учетные записи пользователей можно добавлять 
несколькими способами. Системы Еедота и Ве4 Наё Епїѓегргіѕе Глпах предлагают 
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программу СосКкри, которая позволяет создавать учетные записи и управлять ими. 
Если программа СосКрі еще не установлена и не включена, сделайте это следу- 


ющим образом: 


# уит 11$%а11 соскрії -у 


# ѕуѕіетс+1 епаб1е --пом соскр1*.зоскее 


Чтобы создать учетную запись пользователя через Соскрії, выполните следу- 


ющие действия. 


1. Откройте интерфейс СосКрё из своего браузера (имя хоста:9090). 


2. Войдите в систему как суперпользователь или пользователь с правами гоо%, 
установите флажок Веизе ту раѕѕуога Гог рим едеч {аз (Использовать мой пароль 
для привилегированных задач), чтобы получить возможность запускать некото- 
рые команды от имени суперпользователя, и выберите раздел Ассоип (Учетные 


записи). 


3. Нажмите кнопку Сгеае Мем Ассоипї (Создать учетную запись). 


На рис. 11.1 показан пример всплывающего окна Сгеаќе Мем АссоипЕ (Создать 


учетную запись). 


//соскри.ехатр(е.сот: 09 О/изегз 


РЕООВА ММОВКУТАТОМ ЕРІТІОМ 


Е ІосаІћоѕ.Іоса!а... Сгеаќе Мем АссоипЕ 


Ру Мате 
ег Мате 
Раѕѕумог 
Сопйгт 
Мегуогкіпе Ассаза 
Сопкатег; 
Родтап Согиатег; 


Миа! Масћһіпе 


Ассоипіѕ 


Јоһпјопеѕ 
Јопеѕ 


оеоноооввовоеве) 


2) 1оск Ассоип 


Рис. 11.1. Добавление и изменение учетных записей пользователей в Соскрі 


4. Начните процесс добавления новой учетной записи пользователя в систему 
Тлпих. Рассмотрим поля, которые вам нужно заполнить. 


= Ра Мате (Полное имя). Используйте настоящее имя пользователя с про- 
писными и строчными буквами, как в реальной жизни. Технически эта 
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информация хранится в комментарии к файлу раззма, и в связи с согла- 
шением ожидается, что это поле будет содержать полное имя каждого 
пользователя. 


= Џѕег Мате (Имя пользователя). Это имя используется для входа в систему как 
данный пользователь. Выбирая имя пользователя, не начинайте его с цифры 
(например, 26]зтйн). Кроме того, лучше применять только строчные буквы, 
никаких управляющих символов или пробелов и максимум восемь симво- 
лов. Команда изегад4 допускает максимум 32 символа в имени, но часть 
приложений не могут работать с такими длинными именами. Некоторые 
инструменты, например р$, отображают идентификаторы пользователей 
(ОТО) вместо имен, если те слишком длинные. Имена пользователей ] зп 
и јѕтіёћ могут привести к путанице с программами, такими как зеп тай, 
которые не различают регистр. 


= Раѕѕуога (Пароль), Сопіт (Подтверждение). Введите пароль пользователя 
в поле Размога (Пароль) и повторите его в поле Сопйгт (Подтверждение). 
Пароль должен состоять не менее чем из восьми символов и содержать про- 
писные и строчные буквы, цифры и знаки препинания. В нем не должно 
быть реальных слов, повторяющихся букв или букв по порядку из строки на 
клавиатуре. С помощью этого интерфейса нужно установить пароль, кото- 
рый соответствует указанным критериям. (Если вы хотите добавить не соот- 
ветствующий критериям пароль, примените команду изегада, которая будет 
описана далее в этой главе.) Полоски под полями паролей, сначала красные, 
становятся зелеными по мере повышения надежности пароля. 


= Ассез$ (Доступ). Чтобы создать учетную запись, которую еще нельзя ис- 
пользовать, установите флажок Еоск АссоипЕ (Заблокировать учетную 
запись). В таком случае никто не сможет войти в данную учетную запись 
до тех пор, пока вы не снимете флажок или не измените эту информацию 
в файле раѕѕма. 
5. Нажмите кнопку Сгеаѓе (Создать), чтобы добавить пользователя в систему. 
Запись о новой учетной записи пользователя добавляется в файл /еєс/раѕѕма, 
а о новой учетной записи группы — в файл /еёс/вгоир (будут описаны позже 
в этой главе). 


В СосКри в окне Ассоит (Учетные записи) можно изменить сведения об обыч- 
ном пользователе после создания его учетной записи. Чтобы изменить эту инфор- 
мацию позже, выполните следующие действия. 


1. Выберите учетную запись пользователя. Появится окно с возможными для него 
изменениями. 

2. Имя пользователя нельзя изменить, его можно только удалить. А следующую 
информацию изменить можно. 


= Ри! Мате (Полное имя). Поскольку полное имя пользователя — это всего 
лишь комментарий к файлу, его можно изменять по своему усмотрению. 
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= Кое5 (Роли). По умолчанию можно установить флажки Ѕегуег Адтитгаюг 
(Администратор сервера), предоставляя пользователю права суперпользо- 
вателя и добавляя его в группу \'Вее|, и Ітаде Вийаег (Создатель образов), 
позволяя пользователю создавать контейнеры и другие типы изображений 
через группу жег. Другие роли могут быть добавлены в этот список с по- 
мощью иных компонентов СосКріє. Если пользователь уже в системе, он 
должен выйти из нее, чтобы получить эти права. 


" Ассеѕѕ (Доступ). Вы можете заблокировать учетную запись, установив фла- 
жок в поле [оск Ассоип (Заблокировать учетную запись). Можно также за- 
дать срок действия учетной записи — определенную дату или же оставить 
учетную запись без срока действий и никогда не блокировать. 


= Раѕѕуога (Пароль). Выберите пункт Ѕеї Раѕѕмога (Задать пароль), чтобы уста- 
новить новый пароль для этого пользователя, или Рогсе Сһапде (Принуди- 
тельно изменить), чтобы заставить пользователя изменить свой пароль при 
следующем входе в систему. По умолчанию срок действия паролей никогда 
не истекает. Это можно изменить и установить запрос на изменение пароля 
через заданное количество дней. 


= АДиќћогігеа Рибіс 55Н Кеуѕ (Авторизированные открытые 55Н-ключи). Если у вас 
есть открытый $5 Н-ключ для пользователя, можете выбрать знак плюс (+), 
вставить этот ключ в текстовое поле и нажать кнопку Ааа (Добавить). Поль- 
зователь с соответствующим закрытым ключом с помощью него может войти 
в учетную запись пользователя через 5ЅН, не вводя пароль. 


З. Изменения вступают в силу сразу же, поэтому можете просто выйти из окна, 
когда закончите изменять учетную запись пользователя. 


Раздел Ассоит (Учетные записи) в СосКкрі был разработан для упрощения 
процесса создания и изменения учетных записей пользователей. Дополнительные 
функции, связанные с учетными записями пользователей, можно добавлять или 
изменять из командной строки. Далее в этой главе описывается, как добавить учет- 
ные записи пользователей из командной строки с помощью иѕегааа и изменить их 
командой изегтод. 


Добавление пользователей с помощью команды џиѕегааа 


Иногда в системе Тіпих нет настольного инструмента или веб-интерфейса, с по- 
мощью которых можно добавлять пользователей. А иногда может показаться более 
удобным добавить сразу несколько пользователей с помощью скрипта оболочки 
или изменить функции учетной записи пользователя, которых нет в Соскрк. Для 
всего этого существуют специальные команды, позволяющие добавлять и изменять 
учетные записи пользователей из командной строки. 

Самый простой способ создания нового пользователя из оболочки — команда 
иѕегааа. Просто откройте окно Тегтта! (Терминал) с правами суперпользователя, 
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наберите изегада в командной строке и добавьте подробную информацию о новой 
учетной записи в качестве параметров. 


Единственным обязательным параметром является логин пользователя, но вы, 


вероятно, захотите включить в него дополнительные сведения. Каждому элементу 
информации об учетной записи предшествует однобуквенный параметр с дефисом 
перед ним. Команда изегада работает со следующими параметрами. 


-с "комментарий" — комментарий к новой учетной записи пользователя. Обычно 
это полное имя пользователя. Замените комментарий именем учетной записи 
пользователя (-с Јаке). Используйте кавычки для ввода нескольких слов (на- 
пример, -с "Јаке Јаскѕоп"). 


-а домашний каталог — устанавливает домашний каталог, который будет при- 
меняться для учетной записи. По умолчанию его название должно совпадать 
с именем учетной записи и располагаться в каталоге /һоте. Замените домаш- 
ний каталог именем нужного каталога, например -а /тпё/һотеѕ/ јаке. 


-р — вместо того чтобы создавать новую учетную запись, сохраняет предостав- 
ленную информацию в качестве новых параметров по умолчанию для всех вновь 
созданных учетных записей. 


-е дата_устаревания — назначает дату, когда учетная запись пользователя будет 
заблокирована, в формате ГГГГ-ММ-ДД. Замените дата_устаревания датой, на- 
пример, для срока действия учетной записи до 5 мая 2022 года — -е 2022-05-05. 


-# -1 — устанавливает количество дней, которые должны пройти с момента уста- 
ревания пароля до блокирования учетной записи. По умолчанию значение -1 
отключает этот параметр. Значение ё блокирует учетную запись сразу же после 
истечения срока действия пароля. Замените -1 нужным числом. 


-5 группа — устанавливает основную группу (она уже должна существовать 
в файле /еёс/вгоир), в которой будет находиться новый пользователь. Замените 
группа именем группы, например -в ийее1. Без этого параметра создается новая 
группа, которая совпадает с именем пользователя и становится основной. 


-6 список_групп — добавляет нового пользователя в предоставленный спи- 
сок дополнительных групп, разделенных запятыми (например, -б мНее1 ‚ ѕа- 
1е$, еси, 1ипсй). Если хотите использовать параметр -6 позже с иѕегтой, обя- 
зательно укажите -аб. Если ввести просто -6, существующие дополнительные 
группы будут удалены и представленные группы окажутся единственными 
назначенными. 


-К 5Ке[_41г — устанавливает каталог с шаблонами, который содержит файлы 
и каталоги для копирования в домашний каталог пользователя при его созда- 
нии. Этот параметр можно использовать только в сочетании с параметром -м. 
Замените ѕке(_ аі” именем нужного каталога. (Без этого параметра применяется 
каталог /ефс/зКе1.) 


-п — автоматически создает домашний каталог пользователя и копирует в него 
файлы из каталога шаблонов (/еес/$Ке1). (Это происходит по умолчанию для 
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Еедога и ВНЕГ, поэтому действие не требуется. А в ОБипи необходимо его 
выполнить.) 


© -М— не создает домашний каталог нового пользователя, даже если для его соз- 
дания задано поведение по умолчанию. 


Ф -п — отключает поведение по умолчанию при создании новой группы, соот- 
ветствующей имени и идентификатору нового пользователя. Этот параметр 
доступен в системах Еейога и ВНЕГ. Другие системы Глпах назначают нового 
пользователя в группу с тем же именем. 


Ф -о — использует -и иіа для создания учетной записи пользователя, которая 
имеет тот же ОТО, что и у другого пользователя. (Фактически это позволяет 
иметь два разных имени пользователя с правами на один и тот же набор файлов 
и каталогов.) 


® -р пароль — добавляет пароль для новой учетной записи. Он должен быть за- 
шифрованным. Можно добавить пароль не сразу, а применить команду пароль 
пользователя позже, чтобы задать его для пользователя. (Чтобы сгенерировать 
зашифрованный пароль МО5, введите команду орепѕѕ1 пароль.) 


® -5 оболочка — указывает командную оболочку, которая будет использоваться 
для этой учетной записи. Замените оболочка нужной командной оболочкой, 
например -$ /біп/сѕһ. 


© -ита пользователя — укажите идентификатор (10) пользователя для учетной 
записи, например -и 1793. Без параметра -и будет реализовано поведение по 
умолчанию — автоматически назначен следующий доступный номер. Замените 
іа пользователя идентификатором пользователя. Автоматические идентифи- 
каторы для обычных пользователей начинаются с 1000, поэтому для таких 
пользователей нужно вводить идентификаторы, превышающие это число, чтобы 
не пересекаться с автоматическими назначениями. 


Создадим учетную запись для нового пользователя. Его полное имя — Ѕага 
Стееп, а логин — ѕага. Для начала станьте суперпользователем и введите следу- 
ющую команду: 


# иѕегааа -с "Ѕага бгееп" ага 


Далее установите пароль, применив команду раѕѕма. Ето нужно ввести дважды: 


# раѕѕма зага 

СПап21п8 раѕѕмога Фог иѕег ѕага. 
Мем раѕѕмога: *********ж* 

Кефуре пем раз$мога: ********** 


ПРИМЕЧАНИЕ 


Звездочки в примере — это пароль, который вы вводите. В действительности при вводе пароля звездочек не бу- 
дет. Кроме того, имейте в виду, что запуск команды раз5\м от имени суперпользователя позволяет добавлять 
короткие или пустые пароли, которые обычные пользователи не могут добавить сами. 
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При создании учетной записи для ѕага команда изегада выполняет несколько 
действий. 


® Считывает файлы /еєс/1овіп.де#ѕ и /ефс/де+аи1*/изегада, чтобы найти значе- 
ния по умолчанию для использования при создании учетных записей. 


е Проверяет параметры командной строки, чтобы узнать, какие значения по 
умолчанию следует переопределить. 


® Создает новую запись пользователя в файлах /еїс/раѕѕма и /еїс/ѕһайом на 
основе значений по умолчанию и параметров командной строки. 


® Создает все новые записи группы в файле /ефс/вгочр. (Еейога создает группу, 
используя имя нового пользователя.) 


ө Создает домашний каталог на основе имени пользователя в каталоге / һоте. 


® Копирует все файлы, находящиеся в каталоге /еіс/ѕКке1, в новый домашний 
каталог. Обычно это сценарии входа в систему и запуска приложений. 


В предыдущем примере применены лишь несколько доступных параметров 
иѕегааа. Большинство параметров учетной записи назначаются с использованием 
значений по умолчанию. При желании можно установить свои значения параме- 
тров. 

Вот пример с несколькими вариантами: 


# иѕегада -5 иѕегѕ -б мһее1,арасһе -5 /біп/Есѕһ -с "бага бгееп" ѕага 


В этом случае изегада получает указание сделать иѕегѕ основной группой, к ко- 
торой принадлежит зага (-в), добавляет ее в группы мћһее1 и арасћһе и назначает 
+с5П в качестве ее основной командной оболочки (-5). По умолчанию создается 
домашний каталог в /һоте под именем пользователя (/һоте/ ѕага). Эта командная 
строка приводит к тому, что в файл /еїс/раѕѕма добавляется следующая строка: 


ѕага:х:1002:1007:5ага бгееп: /һоте/ѕага: /біп/Есѕһ 


Каждая строка в файле /еёс/раѕѕма представляет собой одну учетную запись 
пользователя. Каждое поле отделяется от следующего двоеточием ( :). Положе- 
ние поля в строке определяет его значение. Как видно в примере, первым идет 
имя пользователя. В поле с паролем содержится элемент х, поскольку здесь файл 
пароля ѕһайом применяется для хранения зашифрованного пароля (в файле /еёс/ 
ѕһайом). 

Идентификатор (ТО) пользователя выбран автоматически и равен 1002. Основ- 
ной идентификатор группы — 1007, что соответствует частной группе в файле 
/еёс/вгоир. В поле комментария правильно введено полное имя пользователя Ѕага 
Стееп, домашний каталог был автоматически назначен как /һоте/ѕага, а командная 
оболочка — это /Біп/сѕћ, как и указано в параметрах изегааа. 

Многие параметры опускаются, как я сделал в первом примере с иѕегаай, 
и в большинстве случаев значения устанавливаются по умолчанию. Например, 
если не использовать параметры -6 ѕа1еѕ или -6 мһее1, арасһе, имя группы будет 
назначено новому пользователю. Некоторые системы Глпих (кроме Еейога и КНЕІ) 
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назначают имя группы по умолчанию. Аналогично исключение -5 /ріп/&сѕћ при- 
водит к назначению /Біп/баѕћ в качестве оболочки по умолчанию. 

Файл /еіс/вгоир содержит информацию о различных группах в системе Глпих 
и пользователях в них. Группы позволяют нескольким пользователям совместно 
получать доступ к одним и тем же файлам. Так выглядит запись в файле /еїс/ 
вгоир, созданная для ага: 


зага:х: 1007: 


Каждая строка в файле группы содержит имя группы, ее пароль (обычно за- 
полненный символом х), ее идентификационный номер и список пользователей, 
относящихся к этой группе. По умолчанию каждый пользователь добавляется 
в собственную группу, начиная с 1000 и со следующего доступного СТО. 


Пользовательские настройки по умолчанию 


Команда иѕегааа определяет значения по умолчанию для новых учетных записей, 
считывая файлы /еёс/1овіп.е#ѕ и /ес/деҒаи1+/иѕегааа. Эти значения можно 
изменить, отредактировав файлы вручную с помощью стандартного текстового 
редактора. Хотя файл 10віп.ае# в разных системах [пах различается, далее при- 
веден пример, содержащий настройки, которые можно найти в 1051п.4еЁ$: 


РАЗ$_МАХ_РАУЗ 99999 
РАЅ5 МІМ РАУЗ А 

РАЅ5 МІМ ЕМ 5 

РАЅ5 МАКМ АСЕ 7 

ито МІМ 1000 
ЏІЮ МАХ 6өдөд 
ЅүЅ 0ІР МІМ 200 
ЅүЅ 0ІР МАХ 999 
бІр МІМ 1000 
бІр МАХ 6өдөд 
ЅүЅ СІР МІМ 201 
ЅүЅ СІР МАХ 999 


СВЕАТЕ_НОМЕ уеѕ 


Все раскомментированные строки содержат пару «ключевое слово — значение». 
Например, за ключевым словом РА55 МІМ№ ІЕМ№ следует пустое пространство и значе- 
ние 5. Оно сообщает изегада, что пароль пользователя должен быть не менее пяти 
символов. Другие строки позволяют настроить диапазон автоматически назнача- 
емых идентификаторов пользователей или групп. (Еейога начинает отсчет с ОТО 
1000, более ранние системы начинали с ОТО 100.) Постоянные административные 
номера учетных записей пользователей и групп заняты для 199 и 200 человек соот- 
ветственно. Таким образом, вы можете назначить собственные административные 
учетные записи с 200 и 201 соответственно вплоть до 999. 

Перед каждым ключевым словом в поле с комментарием объясняется его 
значение (в примере я его отредактировал, чтобы занимало меньше места). Из- 
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менить значение по умолчанию так же просто, как отредактировать значение, 
связанное с ключевым словом, и сохранить его в файле перед запуском коман- 
ды изегада. 

Если вы хотите просмотреть другие настройки по умолчанию, перейдите в файл 
/еёс/аеҒаи1/иѕегада. Можно также просмотреть настройки по умолчанию, введя 
команду иѕеғгааа с параметром -р, как в примере: 


# иѕегааа -р 
СКО0Р=100 

НОМЕ=/Поте 
ТМАСТТУЕ=-1 

ЕХРТКВЕ= 
ЅНЕШ.=/Бріп/Ббаѕћ 
ЅКЕГ=/еіс/ѕке1 
СВЕАТЕ_МАТ!_5РО0!=уе$ 


Вы можете использовать параметр -р для изменения значений по умолчанию. 
При запуске с ним изегада не создает сразу новую учетную запись — вместо этого 
он сохраняет все дополнительные параметры в качестве новых значений по умол- 
чанию в файле /еёс/ае+аи1+/иѕегааа. Не все параметры изегада можно применять 
с параметром -р, только следующие пять: 


© -Ы домашний каталог — задает каталог по умолчанию, в котором создаются до- 
машние каталоги пользователей. Замените домашний_каталог именем каталога, 
например -6 /вагаве. Обычно это каталог /һоте; 


Ф -е дата_устаревания — устанавливает дату срока действия по умолчанию, 
когда учетная запись пользователя будет заблокирована. Замените значение 
дата_устаревания на дату в формате ГГГГ-ММ-ДД, например -е 2021-10-17; 


Ф -Ғдни — устанавливает количество дней после истечения срока действия паро- 
ля до блокирования учетной записи. Замените дни числом, представляющим 
количество дней, например -+ 7; 


® -= группа — задает группу по умолчанию, в которую помещаются новые поль- 
зователи. Обычно изегада создает новую группу с теми же именем и идентифи- 
кационным номером, что и у пользователя. Замените группа нужным именем 
группы, например -е беагѕ; 


® -5 оболочка — устанавливает оболочку по умолчанию для новых пользова- 
телей. Обычно это /61п/БазН. Замените оболочка полным путем к оболочке, 
который вы хотите использовать по умолчанию для новых пользователей, 
например -$ /61п/а$Н. 


Чтобы установить любое из значений по умолчанию, сначала задайте пара- 
метр -0, а затем добавьте значения по умолчанию. Например, чтобы установить 
расположение домашнего каталога по умолчанию в /поме/е\егуопе и оболочку по 
умолчанию в /біп/сѕһ, введите следующее: 


# изегааа -р -6 /һоте/емегуопе -5 /біп/&сѕһ 
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В дополнение к определению пользовательских настроек администратор может 
создавать файлы по умолчанию, которые копируются в домашний каталог каждого 
пользователя. Эти файлы могут включать сценарии входа в систему и файлы кон- 
фигурации оболочки, например файл .Базпгс. Имейте в виду, что по умолчанию 
настройкой этих типов файлов занимается каталог /еіс/ѕКе1. 

Существуют и другие полезные команды для работы с учетными записями 
пользователей — изегто4 для изменения настроек существующей учетной записи 
и иѕегае1 для удаления существующей учетной записи пользователя. 


Изменение пользователей 
с помощью команды иѕегтоа 


Команда иѕегтоа довольно проста, понятна и позволяет изменять параметры 
учетной записи. Для нее доступны многие параметры из тех, что используются 
с и5егада, например: 


© -симя пользователя — изменяет описание, связанное с учетной записью поль- 
зователя. Замените имя_пользователя именем учетной записи пользователя 
(-с јаке). Применяйте кавычки для ввода нескольких слов, например -с "Јаке 
ЗасК$оп"; 


© -а домашний каталог — изменяет домашний каталог, который будет использо- 
ваться для учетной записи. По умолчанию он должен носить имя пользователя 
и размещаться в /һоте. Замените домашний каталог именем нужного каталога, 
например -а /тпЕ/Поте$/3аКе; 


Ф -е дата устаревания — назначает новую дату истечения срока действия для 
учетной записи в формате ГГГГ-ММ-ДД. Замените дата_устаревания нужной 
датой, например -е 2022-10-15 для 15 октября 2022 года; 


Ф -Е-1 — устанавливает количество дней, которое должно пройти после истече- 
ния срока действия пароля, прежде чем учетная запись будет заблокирована. 
По умолчанию значение -1 отключает этот параметр. Значение ө блокирует 
учетную запись сразу же по истечении срока действия пароля. Замените -1 
нужным значением; 


Ф -с группа — изменяет основную группу (как указано в файле /еёс/вгоир), 
в которой будет находиться пользователь. Замените группа именем группы, 
например -= мһее1; 


® с список групп — добавляет дополнительные группы пользователя в предо- 
ставленный список групп, разделенных запятыми. Если пользователь уже 
находится по крайней мере в одной группе, кроме личной, нужно добавить 
параметр -а (-ба). Если так не сделать, то пользователь будет назначен в новую 
группу, выйдя из всех предыдущих; 


® -1 новое имя — изменяет имя учетной записи; 
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® 1 — блокирует учетную запись, поставив восклицательный знак в начале за- 
шифрованного пароля в файле /еёс/ѕһайом. Данное действие блокирует учет- 
ную запись, при этом не трогая пароль (параметр -0 разблокирует ее); 


® -т— доступен только совместно с параметром -а. Копирует содержимое до- 
машнего каталога пользователя в новый каталог; 


® -о— работает только с -и иіа и снимает ограничения на уникальность иденти- 
фикаторов (010); 

® -5 оболочка — указывает другую командную оболочку, которая будет использо- 
ваться для этой учетной записи. Замените оболочка именем нужной командной 
оболочки, например -$ Баѕћ; 

Ф -ита пользователя — изменяет идентификационный номер пользователя для 
учетной записи. Замените 14_пользователя нужным идентификационным но- 
мером, например -и 1474; 

® 0 — снимает блокировку с учетной записи пользователя, удалив восклицатель- 
ный знак в начале зашифрованного пароля. 


Далее приведены примеры команды иѕегтоаӣ: 


# иѕегтоа -$ /біп/сѕһ сһгіѕ 
# иѕегтоа -ба ѕа1еѕ,тагкеёіпе, сһгіѕ 


В первом примере оболочка заменяется оболочкой сѕћ для пользователя 
с именем сһгіѕ. Во втором примере пользователю сһгіѕ назначают дополни- 
тельные группы. Параметр -а (-ба) гарантирует, что дополнительные группы 
будут добавлены к уже существующим группам для пользователя сһгіѕ. Если 
параметр -а не используется, существующие дополнительные группы для сһћгіѕ 
удаляются, а новый список групп включает только дополнительные группы, на- 
значенные ему. 


Удаление пользователей 
с помощью команды иегае| 


Команда иѕегтоа используется для изменения параметров пользователя, иѕегайа — 
для создания учетных записей, а изег4е1 — для удаления пользователей. Команда, 
приведенная далее, удаляет пользователя сһгіѕ: 


# иѕегае1 -г сһгіѕ 


Здесь пользователь сйг1$ удаляется из файла /еёс/раѕѕмога. Параметр -г уда- 
ляет также домашний каталог пользователя. Если не применять параметр -г, как 
показано далее, домашний каталог для сһгіѕ не будет удален: 


# иѕегае1 сһгіѕ 


Имейте в виду, что простое удаление учетной записи пользователя ничего 
не меняет в файлах, которые пользователь оставляет в системе (за исключением 
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удаляемых в ходе работы с параметром -г). Однако при запуске 1$ -1 для этих фай- 
лов права собственности принадлежат идентификатору предыдущего владельца. 

Прежде чем удалить пользователя, запустите команду #Ғіпа, чтобы найти все его 
файлы. После удаления пользователя можно выполнить поиск по его идентифи- 
катору, чтобы найти оставшиеся файлы. Два варианта поиска: 


# Ғіпа / -изег сһгіѕ -1$ 
# Ғіпа / -иіа 504 -15 


Поскольку файлы, не привязанные к какому-либо имени пользователя, счита- 
ются небезопасными, рекомендуется найти их и назначить реальной учетной за- 
писи. Вот пример команды +1па, которая находит все файлы в файловой системе, 
не связанные ни с одним пользователем (файлы перечислены по ОТО): 


# Ғіпа / -поиѕег -15 


Учетные записи групп 


Учетные записи групп полезны, если нужно поделиться набором файлов с не- 
сколькими пользователями. Можно создать группу и изменять набор связанных 
с ней файлов. Суперпользователь может назначить в эту группу пользователей, 
чтобы они получали доступ к файлам на основе прав группы. Рассмотрим пример 
файла и каталога: 


$ 15 -1а /маг/ѕа1еѕӣосѕ /маг/ѕа1еѕӣосѕ/Ғі1е.хі 
Чгихгихг-х. 2 гооЁ ѕа1еѕ 4096 Зап 14 09:32 /маг/ѕа1еѕѕ+и++/ 
-Ги-Ги-г--. 1 гооЁ ѕа1еѕ Ө Јап 14 09:32 /маг/ѕа1еѕѕ+иҒҒ/Ғі1е.іхі 


Второй набор прав гих для каталога /маг/ѕа1еѕӣосѕ (гихгихг-х) показывает, 
что любой член группы (ѕа1еѕ) имеет разрешение на чтение файлов в этом ката- 
логе (г — чтение), создание файлов и удаление их из этого каталога (м — запись) 
и внесение изменений в этот каталог (х — исполнение). Файл +11е.+х{ может быть 
прочитан и изменен членами группы ѕа1еѕ на основе второго набора прав гих. 


Использование учетных записей групп 


Каждый пользователь назначается в основную группу. В Еейога и ВНЕТ. по умол- 
чанию эта группа является новой и носит имя пользователя: если имя пользователя 
ѕага, то группа, назначенная ему, также называется зага. Первичная группа обо- 
значается номером в третьем поле каждой записи в файле /еёс/раѕѕма. Например, 
здесь применяется идентификатор группы 1007: 


ѕага:х:1002:1007:5ага бгееп: /һоте/ѕага: /біп/Есѕһ 


Эта строка указывает на запись в файле /еёс/вгоир: 


ѕага:х:1007: 
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Для примера обратимся к учетным записям пользователей и групп. Факты об 
использовании групп таковы. 


® Когда пользователь зага создает файл или каталог, по умолчанию они назнача- 
ются основной группе ѕага, также называемой ѕага. 


® Пользователь ѕага может принадлежать к нескольким дополнительным груп- 
пам или не принадлежать ни к одной. Если бы пользователь зага был членом 
групп ѕа1еѕ и тагкетіпе, записи об этом в файле /еёс/вгоир могли бы выглядеть 
следующим образом: 


ѕа1еѕ:х:1302:јое,111,ѕа11у,ѕаға 
тагкеіпе : х :1303: тіке, беггу, зага 


® Пользователь не может добавить себя в дополнительную группу, как и включить 
другого пользователя в свою. Назначать пользователей в группы может только 
обладающий правами суперпользователя. 


® Любой файл, назначенный группе ѕа1еѕ или тагкеёіпе, доступен пользователю 
сага с правами, установленными для группы (в зависимости от того, у какого 
из пользователей наибольший доступ). Если пользователь хочет создать файл 
с назначенными ему группами ѕа1еѕ или тагкеќіпе, то он должен использовать 
команду пеивгр. В этом примере ѕага задействует команду пемргр, чтобы группа 
ѕа1еѕ временно стала основной, и создает файл: 


[ѕага]$ +оисһ +11е1 

[ѕага]$ пемвгр ѕа1еѕ 

[ѕага]$ +оисһ +11е2 

[ѕага]$ 15 -1 +11е* 

-ги-ги-г--. 1 зага зага Ө Јап 18 22:22 #і1е1 
-ги-ги-г--. 1 зага ѕа1еѕ Ө Јап 18 22:23 +1і1е2 
[зага]$ ехі+ 


Кроме того, с помощью команды пемвгр можно разрешить пользователям 
временно становиться членами другой группы. Для этого кто-то с правами су- 
перпользователя может применить команду враѕѕма и установить пароль группы, 
например враѕѕиа ѕа1еѕ. После этого любой пользователь может ввести команду 
пеивгр ѕа1еѕ в оболочке и временно использовать группу ѕа1еѕ в качестве своей 
основной, просто введя ее пароль при появлении запроса. 


Создание учетных записей групп 


Как суперпользователь, вы можете создавать новые группы из командной строки 
с помощью команды ргоирада. Кроме того, как отмечалось ранее, группы образу- 
ются автоматически при создании учетной записи пользователя. 
Идентификаторы групп от 0 до 999 присваиваются специальным администра- 
тивным группам. Например, у гоо{-группы номер СТО 0. В Кеа Наї Ещегризе Піпих 
и Еедога группы обычных пользователей носят номера начиная с 1000. В первых 
ОМІХ-системах присваивалось значение СТО от 0 до 99. Сейчас в других системах 
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Піпих административным группам присваивается значение СТО от 0 до 500. Отно- 

сительно новая функция, описанная ранее, резервирует административные учетные 

записи пользователей и групп до 199 и 200 соответственно и позволяет создавать 

собственные административные учетные записи между этими номерами и 999. 
Вот несколько примеров создания учетной записи группы с помощью команды 

Бгоирааа: 

# ргоирааа Кіпеѕ 

# эгоирада -= 1325 јокегѕ 


В приведенных примерах группе с именем кіпеѕ присваивается следующий до- 
ступный идентификатор группы. После этого группа јокегѕ создается с идентифи- 
катором 1325. Некоторым администраторам нравится брать неопределенный номер 
группы между 200 и 1000, чтобы созданная ими группа не смешивалась с группами 
с номерами выше 1000 (номера ОТО и СТО могут использоваться параллельно). 

Чтобы изменить группу позже, возьмите команду вгоиртоа, как в следующем 
примере: 

# ргоиртоа -= 330 јокегѕ 
# Бгоиртоа -п јаскѕ јокегѕ 


В первом примере идентификатор группы јокегѕ изменен на 33е. Во втором 
случае название јокегѕ меняется на јаскѕ. Если вы затем хотите назначить пользо- 
вателю какую-либо из групп в качестве дополнительной, возьмите команду изегтод, 
как описано ранее в этой главе. 


Управление пользователями 
в корпоративной среде 


Основной метод Глпах для работы с учетными записями пользователей и групп 
не изменился с тех пор, как были разработаны первые системы ОМХ десятилетия 
назад. Однако по мере того, как способы использования систем Глпих стали услож- 
няться, функции управления пользователями, группами и связанными с ними 
разрешениями были добавлены в базовую модель пользователя/группы, чтобы 
она могла стать: 


® более гибкой. В базовой модели каждому файлу можно назначить только одно- 
го пользователя и одну группу. Кроме того, обычные пользователи не имеют 
возможности назначать права другим пользователям или группам и совсем 
незначительно могут настроить совместные файлы/каталоги. Модель усовер- 
шенствована, и теперь обычные пользователи могут создавать специальные 
каталоги для совместной работы, применив функции $+1сКу Бі и ѕеї 61р. 
Используя список контроля доступа (ассеѕѕ сопёто| 1155, АСТ.), любой поль- 
зователь может назначить определенные права на файлы и каталоги любым 
пользователям и группам; 
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® более централизованной. Если компьютер один, хранение информации обо всех 
пользователях в файле /еёс/раѕѕмӣ, вероятно, не составляет труда. Но если нужно 
аутентифицировать один и тот же набор пользователей в тысячах систем Гіпих, 
централизация этой информации может сэкономить много времени и душевных 
сил. Кеа Нас Ещегризе Глпих включает в себя функции, позволяющие аутенти- 
фицировать пользователей с серверов ГОАР или МісгоѕоЁ Асііуе Оттесботу. 


В следующем подразделе описывается, как использовать такие функции, как 
списки контроля доступа и общие каталоги (ѕ+іску бі+ и зе* 61р), чтобы обеспе- 
чить управление обменом файлами и каталогами. 


Настройка прав с помощью списка АСЕ 


Функция «список контроля доступа» (АСГ.) была создана для того, чтобы обычные 
пользователи могли выборочно делиться своими файлами и каталогами с другими 
пользователями и группами. С помощью АСГ. пользователь может разрешить дру- 
гим пользователям читать, записывать и исполнять файлы и каталоги, не открывая 
элементы файловой системы для всех и не требуя от суперпользователя изменить 
назначенных ему пользователя или группу. 

Вот что нужно знать о списках АСТ. 


® Списки АСТ. должны быть включены в файловую систему при ее монтировании. 


ө В Еедога и Кеа Нас Епїегргіѕе Тлпих списки АСТ. автоматически включаются 
в любую файловую систему, созданную при установке системы. 


ө Если вы создаете файловую систему после установки (например, при добавле- 
нии жесткого диска), то должны убедиться, что параметр ас1 применяется при 
монтировании файловой системы (подробнее об этом позже). 


® Чтобы добавить списки в файл, можно использовать команду ѕеЁҒас1, а чтобы 
просматривать списки АСТ. для файла — команду веас1. 


® Чтобы установить списки АСТ, для любого файла или каталога, вы должны 
быть его фактическим владельцем (назначенным ему пользователем). Другими 
словами, назначение прав пользователя или группы с помощью зеас1 не дает 
вам права самостоятельно изменять списки АСТ. для этих файлов. 


® Поскольку файлу/каталогу могут быть назначены несколько пользователей 
и групп, фактические права пользователя основаны на объединении всех на- 
значений прав пользователям/группам, к которым он принадлежит. Напри- 
мер, если файл имеет разрешение только на чтение (г--) для группы ѕа1еѕ и на 
чтение/запись/исполнение (гих) для группы тагКе*1пв, а пользователь тагу 
принадлежит к обеим группам, то у тагу будут права гих. 


ПРИМЕЧАНИЕ 


Если списки АСІ не включены в файловую систему, см. пункт «Включение списков АС» далее в этом подразделе, 
чтобы узнать, как монтировать файловую систему с включенными списками АСІ. 
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Настройка списков АСЕ с помощью команды ѕеїѓасі 


С помощью команды ѕе&ғҒас1 в списках АСТ, можно изменять права (-т) или уда- 
лить их (-х). Далее приведен пример синтаксиса команды ѕеЁ#ас1: 


ѕеЁҒғас1 -т и: имя пользователя :гмх имя файла 


Здесь за параметром тоаіғ+у (-т) следует буква и, обозначающая, что вы устанав- 
ливаете права АСІ для пользователя. После двоеточия (:) указываются имя поль- 
зователя, затем еще одно двоеточие и права, которые нужно назначить. Как и в слу- 
чае с командой сһтоа, вы можете назначить пользователю или группе права на 
чтение (г), запись (м) и/или исполнение (х) (в данном примере даются полные 
права гих). Последний аргумент заменяется фактическим именем файла. 

Далее приведены примеры применения команды зеас1, где пользователь тагу 
добавляет в файл права для других пользователей и групп: 


[магу]$ Фочсй /Етр/тето. Ех 

[магу]$ 15 -1 /+тр/тето.х+ 

-ги-гм-г--. 1 тагу тағу 0 Јап 21 09:27 /+тр/тето. Ех 
[магу]$ зеЕас1 -т и:6111:гм /&тр/тето. хе 

[магу]$ зеас1 -т 2:5а1е$:гм /Етр/тето.ЕхЁ 


Здесь пользователь тагу создал файл с именем /тр/тето .Ёх+. С помощью ко- 
манды зе Фас1 он изменил права (-т) для пользователя 6111, так что теперь у него 
есть права на чтение/запись (гм) этого файла. Затем пользователь тагу изменил 
права для группы ѕа1еѕ, чтобы любой ее член также имел права на чтение и запись. 
Теперь посмотрите на вывод 1$ -1 и ве ас1 в этом файле: 


[тагу]$ 15 -1 /+тр/тето.х+ 
-ги-гм-г--+ 1 тагу тағу 0 Јап 21 09:27 /+тр/тето. Ех 
[магу]$ веғҒас1 /+тр/тето. Ех 
# Ғі1е: +тр/тето . хе 

# омпег: тагу 

# вгоир: магу 

иѕег: : гмизег: 

6111: гивгочр: : 

гиёгочр: 

за1е$ : гмта$К: : 

гмо&ћег: : 

г-- 


Обратите внимание на знак плюс (+) в выводе ги-ги-г--+ после 1$ -1. Он ука- 
зывает на то, что АСГ. установлены в файле, поэтому нужно запустить команду 
ре{+ас1, чтобы увидеть, какие именно списки АСТ, там есть. В выводе магу — это 
и владелец, и группа (так же как после 15 -1), права обычного пользователя — 
это ги-, а права в АСТ. для пользователя 6111 — это ги-. То же самое верно для прав 
для групп, в том числе группы ѕа1еѕ. Другие права — это г--. 

Строку таѕк (ближе к концу в предыдущем примере ве*+ас1) нужно обсудить 
отдельно. Как только вы устанавливаете списки АСТ, для файла, для прав обычных 
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групп в файле задается маска максимальных привилегий, которые пользователь 
или группа АСТ. могут иметь для файла. Таким образом, даже если вы предостав- 
ляете пользователю больше прав АСТ, чем позволяют права группы, его права 
не будут превышать прав группы, как в следующем примере: 


[пагу]$ сһтоа 644 /+тр/тето. хе 
[пагу]$ веас1 /+тр/тето. хе 
# Ғі1е: +тр/тето. хе 

# омпег: магу 

# вгоир: магу 


иѕег: : ги- 
и5ег:6111:гм- #еҒҒесЁіме:г- - 
вгоир: : гм- #еҒҒесііме:г- - 
вгоир:ѕа1еѕ:гм- #еҒҒесёіме: г- - 
мазк: : г-- 
офНег: :г-- 


Обратите внимание на то, что, даже если пользователь 6111 и группа ѕа1еѕ 
имеют права гм-, их действительные права — это г--. Таким образом, пользователь 
6111 или кто-либо в группе ѕа1еѕ не сможет изменить файл, если пользователь тагу 
снова не откроет права, например набрав команду сһтоа 664 /+тр/тето . Ех*. 


Настройка списков АСЕ по умолчанию 


Настройка списков АСТ. по умолчанию в каталоге позволяет работать с ними в бу- 
дущем. Это означает, что при создании новых файлов и каталогов в этом каталоге 
им будут назначаться одни и те же списки АСГ. Чтобы назначить пользователю 
или группе права в АСТ. по умолчанию, добавьте параметр а: к пользователю или 
группе, например: 


[пагу]$ ткаіг /+тр/тагу 
[пагу]$ ѕеЁғас1 -т а:р:тагке:гмх /Етр/тагу/ 
[тагу ]% веЕғҒас1 /+тр/тагу/ 
# Ғі1е: +тр/тагу/ 

# омпег: магу 

# вгоир: магу 

и5ег: : гих 

5гоир: : гих 

офвег: :г-х 
аеғҒаи1+:иѕег: : гих 
аеҒаи1+ : ргоир: : гмх 
аеҒаи1+ : ргоир: ѕа1еѕ : гих 
ае+Ғаи1+ : ргоир: тагке+ : гих 
аеғҒаи1+:таѕК: : гих 
аеғҒаи1+:оЁһег: :г-х 


Чтобы убедиться, что список АСТ, по умолчанию работает, создайте подка- 
талог. Затем запустите команду 5е*ас1. Вы увидите, что строки по умолчанию 
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добавляются для пользователей, групп, масок и других объектов, которые берутся 
из списков АСІ каталога: 


[магу]$ шКа1г /Етр/тагу/+еѕ+ 
[магу]$ ве+ғҒас1 /+тр/тагу/+еѕ+ 
# Ғі1е: +тр/тагу/%еѕ 

# омпег: магу 

# вгоир: магу 

иѕег: : гмх 

Бгоир: : гих 

вгоир:ѕа1еѕ:гмх 

5гоир :тагКе* : гих 

паѕК: : гих 

офвег: :г-х 
аеҒаџ1+ : и5ег: : гмх 
деҒаи1+ : вгоир: : гих 
аеҒаи1+ : вгоир : за1е$ : гих 
аеҒаи1+ : вгоир : тагке+ : гих 
ефаи1* : таѕК: : гмх 

ефаи1* :оһег: : г-х 


Обратите внимание на то, что при создании файла в этом каталоге передава- 
емые права различаются. Поскольку обычный файл создается без права ехесиќе, 
действующие права уменьшаются до гм-: 


[тагу@спевриѕ ~]% +оисһ /&тр/тагу/+11е. хе 
[тагу@спевиѕ -]$ ве+Ғас1 /Етр/тагу/Ғі1е.х+ 
# Ғі1е: +тр/тагу/+і1е.іхі 

# омпег: магу 

# вгоир: магу 


иѕег: : ги- 
вгоир: : гих #еҒҒесііме: ги- 
вгоир:ѕа1еѕ:гмх #еҒҒесііме: ги- 
вгоир:тагкеё: пих #еҒҒесёіме: ги- 
паѕК: : ги- 

офпег: :г-- 


Включение списков АСЕ 


В современных системах Еейога и ВНЕТ, типы файловых систем хб и ехї (ехё2, 
ехё3 и ехї4) создаются автоматически с поддержкой АСІ. В других системах их 
или в файловых системах, созданных в них, для этого можно добавить параметр 
монтирования ас1 несколькими способами. 


® Добавьте параметр ас1 в пятое поле строки файла /еёс/#ѕ+аб, который автома- 
тически монтирует файловую систему при загрузке системы. 


ө Вставьте строку ас1 в поле реҒаи1& тоипё ор1оп$ в суперблоке файловой си- 
стемы, чтобы параметр ас1 использовался независимо от того, монтируется 
файловая система автоматически или вручную. 
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® Добавьте параметр ас1 в команду тоип* при монтировании файловой системы 
вручную. 


Имейте в виду, что в системах Еейога и Кеа Наё Ещегрг1зе Ііпих вам нужно 
только добавить параметр монтирования ас1 к файловым системам, созданным 
в другом месте. Инсталлятор Апасоп4а автоматически добавляет поддержку 
АСТ. в каждую файловую систему, которую формирует во время установки, а ин- 
струмент тк#ѕ добавляет ас+ в каждую файловую систему, которую вы создаете 
с его помощью. Чтобы убедиться, что параметр ас+ был добавлен в файловую 
систему ех, определите имя устройства, связанное с ней, и выполните команду 
фипе2+5 -1 для просмотра имплантированных параметров монтирования, как 
в следующем примере: 

# тоипЕ | егер поте 
/аеу/таррег/тубох-һоте оп /һоте Фуре ехЕ4 (гм) 


# ёипе2#5 -1 /аеу/таррег/тубох-һоте | вгер "тоипё орёіопѕ" 
РреҒаи1+ тоипЁ ор+іопѕ: иѕег хаг ас1 


В примере я сначала набрал команду тоип*, чтобы увидеть список всех фай- 
ловых систем, которые в данный момент монтируются, ограничив вывод словом 
поте (потому что искал файловую систему, смонтированную на /һоте). Увидев 
имя устройства файловой системы, я взял его в качестве параметра для $ипе2+5 -1, 
чтобы найти строку параметров монтирования по умолчанию. Далее я увидел, 
что параметры монтирования изег_ха*+г (для расширенных атрибутов, таких как 
ЗЕГ пах) и ас* имплантированы в суперблок файловой системы, чтобы их можно 
было использовать при монтировании файловой системы. 

Если поле ре#аи1+ поипё ор&1опз пусто (например, когда файловая система 
только что создана), можно добавить параметр монтирования асї с помощью ко- 
манды %ипе2+$ -о. Например, в другой системе [іпих я создал файловую систему 
на съемном ОЗВ-накопителе, который был назначен в качестве устройства /4еу/ 
$9с1. Чтобы имплантировать параметр ас1 и проверить его наличие, я выполнил 
следующие команды: 


# типе2+5$ -о ас1 /4еу/$ас1 
# типе2+5 -1 /аеу/5ӣс1 | ргер "тоипЕ орёіопѕ" 
РреҒаи1+ тоипе ор1оп$: ас1 


Чтобы проверить, что это сработало, перемонтируйте файловую систему и по- 
пробуйте использовать команду ве +ас1 для файла в этой файловой системе. 

Второй способ добавить поддержку ас1 в файловую систему — это ввести пара- 
метр ас1 в строку файла /еёс/ѕ+ар, которая автоматически монтирует файловую 
систему во время загрузки. Далее приведен пример того, как будет выглядеть 
строка, которая монтирует файловую систему ехѓ4, расположенную на устройстве 
/аеу/ѕӣс1 в каталог /маг/ и: 


/аеу/ѕӣс1 /Маг/ и ехі4 асі Т2 


Вместо строки аеғаџ1є5 в четвертом поле я указал параметр ас1. Если в этом 
поле уже были заданы параметры, поставьте запятую после последнего параметра 
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и наберите ас1. При следующем монтировании файловой системы включаются 
списки АСГ. Если файловая система уже была смонтирована, я мог бы ввести сле- 
дующую команду моип* как суперпользователь, чтобы перемонтировать файловую 
систему с помощью ас1 или других значений, добавленных в файл /еёс/#ѕ+аб: 


# тоипЕ -о гетоипЕ /4еу/$4с1 


Третий способ добавить поддержку АСТ. в файловую систему — это монти- 
ровать файловую систему вручную и специально запрашивать параметр ас1. 
Итак, если в файле /ес/#ѕ+ар не было записи для файловой системы, то после 
создания точки монтирования (/маг/ѕ+и#+) введите следующую команду для 
монтирования файловой системы и включения поддержки АСГ: 


# тоипЕ -о ас1 /4еу/$ас1 /маг/$ЕиЕ 


Имейте в виду, что команда тоипё монтирует файловую систему временно. 
После перезагрузки системы файловая система не будет монтироваться, если толь- 
ко вы не добавите соответствующую строку в файл /еёс/#ѕ+ар. 


Добавление каталогов 
для совместной работы пользователей 


Специальный набор из трех битов прав обычно игнорируется при использовании 
команды сһтоа для изменения прав в файловой системе. Эти биты могут устанав- 
ливать специальные права для команд и каталогов. Основное внимание в этом 
разделе уделяется настройке битов, которые помогают создавать каталоги для 
совместной работы. 

Как и биты чтения, записи и выполнения для изег, вгоир и оёћек, эти специ- 
альные биты прав для файлов могут быть установлены с помощью команды сһтоа. 
При запуске, например, команды сһтоа 775 /тпё/хуг на самом деле подразумевают- 
ся права 0775. Чтобы изменить права, замените число 9 любой комбинацией этих 
трех битов (4, 2 и 1) или возьмите вместо них буквенные значения. (Обратитесь 
к главе 4, если нужно освежить знания о том, как работают права.) Буквы и цифры 
приведены в табл. 11.1. 


Таблица 11.1. Команды для создания и использования файлов 


Название Цифровое значение Буквенное значение 
Бит Ѕеё изег Ір 4 и+$ 
Бит 5её этоир Ш 2 5+5 
Бит Ѕііску Ьб 1 о+Е 


Биты, которые подходят для создания совместных каталогов, — это бит ѕЅеї 
вгочр 1р (2) и 5% 1сКу 61+ (1). Если вас интересуют другие варианты использо- 
вания битов ѕЅеё изег Ір и $е{ ргоир 1р, обратитесь к врезке «Команды $её ОТЮ 
и 5её СІР Ви» далее. 
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Создание каталогов для групп (установка бита СІР) 


При создании каталога ѕе бІр все файлы, созданные в нем, назначаются соответ- 
ствующей каталогу группе. Суть здесь в том, чтобы иметь каталог, в котором все 
члены группы могут обмениваться файлами, но при этом защищать их от других 
пользователей. Вот список действий для создания совместного каталога для всех 
пользователей в группе ѕа1еѕ. 


1. Создайте группу для совместной работы: 
# ргоирада -5 301 ѕа1еѕ 


2. Добавьте в нее пользователей, с которыми хотите обмениваться файлами 
(я взял пользователя тагу): 


# чзегтоЯ -аб ѕа1еѕ тагу 
3. Создайте каталог совместной работы: 


# мкаіг /тпЕ/ѕа1еѕ +0015 


Команды 8е ОП) и Ѕе СШ Ві 


Биты Ѕеё ОТр и $её СТО используются в специальных исполняемых файлах, которые 
позволяют запускать команды несколько иначе. Обычно, когда пользователь 
применяет команду, она выполняется с правами этого пользователя. Другими 
словами, если я запускаю команду \1 от имени сһгіѕ, то она будет иметь права на 
чтение и запись файлов, которые пользователь сһпіѕ может читать и записывать. 


Команды с битами 5е* ито или 5е* 610 отличаются друг от друга. Именно владелец 
и группа, назначенные команде, определяют права, которые она может применять 
к ресурсам на компьютере. Так, команда ѕеё 0Ір принадлежит суперпользователю 
и будет работать с правами гоої, команда ѕеќ 61р, относящаяся к арасће, будет иметь 
права группы арасће. 


Примерами с включенными ОТО являются команды зи и пемргр. Обе они должны 
действовать как суперпользователь, чтобы выполнять свою работу. Однако, чтобы 
получить права суперпользователя, нужно ввести пароль. Можно сказать, что зи — 
это команда ѕе+ ито, по тому, где обычно находится первый бит выполнения (х): 


$ 15 /Ьіп/ѕи 
-ГМ5-Хр-х. 1 гоо гоо 30092 Зап 30 07:11 ѕи 


4. Назначьте группу ѕа1еѕ в каталог: 
# сһегр ѕа1еѕ /тпЕ/ѕа1еѕ10015 
5. Измените права каталога на 2775. Будет подключен бит ѕе ргоир ТО (2) и даны 


полные права доступа гих для изег (7), права доступа гих для вгочр (7) ир-х (5) 
для оЁћег: 


# сһтоа 2775 /тпё/ѕа1еѕ10015 
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6. Зайдите от имени пользователя тагу (запустите команду зи – тагу). Как пользо- 
ватель тагу создайте файл в общем каталоге и рассмотрите права. При перечис- 
лении прав видно, что каталог является каталогом ѕеї бто, потому что нижний 
регистр для параметра $ появляется там, где должно быть право на выполнение 
для группы (гихгизг-х): 


# ѕи - тагу 

[пагу]$ ёоисһ /тп/за1е${о01$/%е$%. хе 

[пагу]$ 15 -1а /тпЕ/за1е$001$/ /тпЕ/ѕа1еѕоо15/еѕ+.хЁЕ 
агихгиѕг-х. 2 гоо ѕа1еѕ 4096 Зап 22 14:32 /тпі/ѕа1еѕ10015/ 
-ги-ги-г--. 1 тагу ѕаїеѕ Ө Зап 22 14:32 /тпЁ/ѕа1еѕ+оо15/+еѕ+.хі 


Как правило, файл, созданный тагу, будет иметь назначенную ему группу тагу. 
Но поскольку файл +еѕё .ёх был создан в каталоге ѕеё вгоир Ір, файл присваивается 
группе ѕа1еѕ. Теперь любой, кто принадлежит к группе ѕа1еѕ, может читать или 
записывать этот файл, основываясь на правах группы. 


Создание каталогов 
с ограниченным удалением (бит $#ску) 


Каталог с ограниченным удалением создается после включения функции бит ѕ%їску. 
Чем каталог с ограниченным удалением отличается от других каталогов? Обычно, 
если для пользователя открыто право на запись в файле или каталоге, он может 
удалить этот файл или каталог. Однако вы не сможете удалить файлы другого 
пользователя в каталоге с ограниченным удалением, если не являетесь суперполь- 
зователем или владельцем каталога. 

Как правило, каталог с ограниченным удалением используется там, где множе- 
ство различных пользователей могут создавать файлы. Например, каталог /&тр — 
это каталог с ограниченным удалением: 


$ 1$ -1а /&тр 
ЧгихгихгиЕ . 116 гооф гоо 36864 Зап 22 14:18 /&тр 


Видно, что права открыты, но вместо х для бита ехеси+е для оёћег устанав- 
ливается бит ѕ+іску. Далее приведен пример создания каталога с ограниченным 
удалением с файлом, который открыт для записи любым пользователем: 


[тагу ]$ шка1г /Етр/туѕ+иғ+ 

[тагу ]%$ сһтоа 1777 /+тр/туѕЕиғ# 

[тагу ]$ ср /ес/ѕегуісеѕ /Етр/туѕ+иғ+/ 

[тагу ]%$ сһтоа 666 /+тр/туѕ+иҒҒ/ѕегуісеѕ 

[тагу ]%$ 1$ -1а /+тр/туѕ+иҒЕ /Етр/туѕ+иҒ#Ғ/ѕегуісеѕ 

Чгихгихгие. 2 магу тагу 4096 Јап 22 15:28 /ётр/туѕ+и++/ 
-ги-гм-ги-. 1 тагу тагу 640999 Јап 22 15:28 /+тр/туѕ+и++/ѕегуісеѕ 


Имея значение прав 1777 в каталоге /+тр/туѕёи#+, вы можете видеть, что все 
права доступны, но вместо последнего бита выполнения появляется +. Если в файл 
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/тр/туѕёиҒ/ зегу1сез разрешена запись, любой пользователь может открыть 
его и изменить содержимое. Но поскольку файл находится в каталоге $4 1ску Бі, 
только суперпользователь и пользователь тагу могут удалить его. 


Централизация учетных записей 


По умолчанию аутентификация пользователей в тих осуществляется сверкой ин- 
формации о пользователе с файлом /еёс/раѕѕма и паролями из файла /еЕс/зПадом, 
однако ее можно выполнять и другими способами. На большинстве крупных пред- 
приятий информация об учетных записях пользователей хранится на централи- 
зованном сервере аутентификации, поэтому каждый раз, когда вы устанавливаете 
новую систему Глпих, она вместо добавления учетных записей пользователей в эту 
систему запрашивает сервер аутентификации при попытке входа в систему. 

Как и при локальной аутентификации раззма/ ѕһайом, настройка централизован- 
ной аутентификации требует предоставления двух типов информации: об учетной 
записи (имя пользователя, идентификаторы пользователей/групп, домашний ка- 
талог, оболочка по умолчанию ит. д.) и методе аутентификации (различные типы 
зашифрованных паролей, смарт-карты, сканирование сетчатки глаза и т. д.). Мпиах 
позволяет настраивать эти типы информации. 

Домены аутентификации, поддерживаемые с помощью команды аиёһсоп#іе, — 
это ГОАР, №$ и \/п4о\з Асііуе Юігесіогу. 

Поддерживаемые типы централизованных баз данных таковы. 


ө ТОАР. Легковесный протокол доступа к каталогам (Таз буее ЩЕ Рігесёогу Ассеѕѕ 
Ргобосо!) — популярный протокол для предоставления служб каталогов, таких 
как телефонные книги, адреса и учетные записи пользователей. Это открытый 
протокол, который настраивается во многих типах вычислительных сред. 


ө МІЅ. Сетевая база данных (Мебмогк шЮгтаЯоп Ѕегуісе) впервые была создана 
компанией Ѕип Місгоѕуѕќетѕ для распространения сведений об учетных за- 
писях, конфигурации хоста и других типов системной информации во многих 
системах МХ. Поскольку №ъМ5 передает информацию в виде открытого текста, 
большинство предприятий теперь используют более безопасные протоколы 
Т.РАР или \/тЫпа для централизации аутентификации. 


ө УшЫпа. Выбор Иибта в окне Конфигурация аутентификации (Аисћепіісайоп 
Сопйгигайоп) позволяет аутентифицировать пользователей на сервере Місго- 
зоЁ Асйуе Рігесіогу (АЮ). Многие крупные компании расширяют свои на- 
стройки аутентификации на рабочем столе, чтобы выполнять настройку сервера, 
а также использовать сервер АР. 


Если вы хотите создать собственные централизованные службы аутентифика- 
ции и использовать проект с открытым исходным кодом, я рекомендую обратиться 
к серверу каталогов 389 Питесбогу Зегуег (аігесіогу.ейогаргојесі.огд). Еейога и другие 
системы Глпих работают с сервером Г.ОАР. 
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Резюме 


Отдельные учетные записи пользователей — это одно из основных средств обеспе- 
чения безопасных границ между пользователями системы Глпах. Рядовые пользо- 
ватели обычно могут управлять файлами и каталогами в собственных домашних 
каталогах, но за их пределами для этого нужны дополнительные права. 

В этой главе вы узнали, как добавлять учетные записи пользователей и групп, 
изменять их и даже расширять учетные записи пользователей и групп за пределы 
локального файла /еёс/раѕѕма. Вы также узнали, что аутентификация может быть 
выполнена путем доступа к централизованным серверам РАР. 

В следующей главе вы познакомитесь еще с одной основной темой, необходимой 
системным администраторам [пих, — с управлением дисками. Вы узнаете, как раз- 
делять диски, добавлять файловые системы и монтировать их, чтобы содержимое 
разделов диска было доступно тем, кто использует вашу систему. 


Упражнения 


Решая эти упражнения, проверьте свои знания в сфере управления учетными за- 
писями пользователей и групп в Глпах. Задачи подходят для систем Еедога или 
Бей Наё Ещегри!5е Глпих (некоторые сработают и в других системах Глпих). Если 
затрудняетесь с решением заданий, воспользуйтесь ответами к упражнениям, 
приведенными в приложении Б (хотя пих позволяет решать задачи разными 
способами). 


1. Добавьте в свою систему Глпих локальную учетную запись с именем пользо- 
вателя јбах+ег и полным именем Јоһр Важбег, которая задействует /Ьіп/ѕһ 
в качестве оболочки по умолчанию. Пусть ОТО будет назначен по умолчанию. 
Установите для јбахёег пароль Му1№1+еди+!. 


2. Создайте учетную запись группы с именем +еѕёіпе с идентификатором 315. 
Добавьте пользователя јбахќег в группу +еѕтіпв и в группу біп. 


4. Откройте оболочку как ЗБахеег (либо как новый сеанс входа в систему, либо 
с помощью текущей оболочки) и временно сделайте так, чтобы группа +е$1п8 
была вашей группой по умолчанию и при вводе команды +оисћһ /һоте/јбахёег/ 
Ғі1е .їхі группа +еѕёіпре назначалась группой файла. 


5. Обратите внимание на то, какой идентификатор пользователя был назначен для 
јрахќег, и удалите учетную запись пользователя, не удаляя домашний каталог, 
назначенный пользователю. 


6. Найдите в каталоге /һоте (и любых подкаталогах) все файлы, назначенные 
идентификатору пользователя, который недавно принадлежал пользовате- 
лю јбахќег. 


10. 
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Скопируйте файл /ес/ѕегуісеѕ в каталог с шаблонами по умолчанию, чтобы 
он отображался в домашнем каталоге любого нового пользователя. Затем до- 
бавьте в систему нового пользователя с именем тјопеѕ, полным именем Магу 
Јопеѕ и домашним каталогом /һоте/тагујопеѕ. 


Найдите в каталоге /һоте все файлы, принадлежащие пользователю тјопеѕ. 
Есть ли какие-нибудь файлы, принадлежащие тјопеѕ, которых вы не ожидали 
увидеть? 

Войдите в систему как пользователь тјопеѕ и создайте файл с именем /Етр/ 
тагу+#і1е.хі. С помощью списка АСТ. назначьте пользователю біп права на 
чтение/запись в этом файле. Затем назначьте этому файлу права на чтение 
и запись для группы 1р. 


Все еще как пользователь тјопеѕ создайте каталог с именем /%тр/туад1г. Ис- 
пользуя АСГ, назначьте этому каталогу права по умолчанию, чтобы пользо- 
ватель аат имел права на чтение/запись/выполнение этого каталога и любых 
созданных в нем файлов или каталогов. Создайте каталог /тр/тудіг/ёеѕ+іпе/ 
и файл /етр/тудіг/пем+Ғі1е.ёх и убедитесь, что пользователю айт также были 
назначены полные права на чтение/запись/выполнение. (Обратите внимание: 
несмотря на то что права гих назначены пользователю адм, на файл пен+і1е.ёхї 
разрешены права только гм. Что можно сделать, чтобы убедиться, что айт полу- 
чает права также на выполнение файла?) 


Управление дисками 
и файлами 


В этой главе 


и Работа со скриптами оболочки. 

и Создание логических томов с помощью ІММ. 
= Добавление файловых систем. 

= Монтирование файловых систем. 

и Размонтирование файловых систем. 


Операционная система, приложения и данные должны храниться в постоянном 
хранилище, чтобы при включении и выключении компьютера данные оставались 
на месте. Обычно хранилище — это жесткий диск компьютера. Чтобы упорядочить 
на нем информацию, его обычно разделяют на части, причем большинство разделов 
имеют структуру, называемую файловой системой. 

В этой главе описано, как работать с жесткими дисками. Задачи жесткого диска 
включают в себя разбиение на разделы, добавление файловых систем и управление 
ими различными способами. Устройства хранения данных, подключенные к систе- 
мам, например съемные устройства, включая жесткие диски (НОО) и твердотель- 
ные накопители ($80), а также сетевые устройства, могут быть разделены, и ими 
можно управлять одним и тем же способом. 

После описания основных способов разбиения дисков я расскажу, как можно 
использовать инструмент Горіса! Уоате Мапазег (ТУМ), чтобы упростить управ- 
ление файловыми системами и сделать его более эффективным. 


Пространство диска 


Основы работы хранилища данных одинаковы для большинства современных 
операционных систем. При установке операционной системы диск представляет 
собой один раздел или делится на несколько. Каждый раздел формирует файловую 
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систему. В Глпих некоторые разделы могут быть специально отформатированы 
для области подкачки или логических томов ГУМ. Диски используются как по- 
стоянное хранилище, а оперативная память (ОЗУ, КАМ) и подкачка применяются 
для временного хранения. Например, при выполнении команды она копируется 
с жесткого диска в оперативную память, чтобы процессор компьютера (СРО) мог 
быстрее получить к ней доступ. 

Процессор может получить доступ к данным гораздо быстрее из оперативной 
памяти, чем с жесткого диска, хотя твердотельные накопители (550) сами по 
себе больше похожи на оперативную память, чем на жесткие диски. Однако про- 
странство диска обычно намного больше, чем оперативная память, а оперативная 
память намного дороже и стирается при перезагрузке компьютера. Представьте, 
что офис — это оперативная память и диск. Тогда диск — это как картотека, где хра- 
нятся папки с нужной информацией. А оперативная память похожа на столешницу, 
куда кладут папку с бумагами во время работы. Когда папка не используется, она 
возвращается в картотеку. 

Когда оперативная память заполняется из-за запуска слишком большого коли- 
чества процессов или процесса с утечкой памяти, новые процессы не будут запу- 
скаться, если не расширить системную память компьютера. Вот тут-то и пригодится 
раздел подкачки. Пространство подкачки — это раздел подкачки жесткого диска 
или файл подкачки, через который компьютер может «выкачать» не используемые 
в данный момент данные из оперативной памяти, а затем «подкачать» их обратно 
в оперативную память, когда они снова понадобятся. Конечно, хорошо бы вообще 
никогда не превышать объем оперативной памяти (при подкачке падает произво- 
дительность), но подкачка лучше, чем сбои в процессах. 

Еще один специальный инструмент разбиения — это менеджер логических то- 
мов (Т.овса| Уоате Мапазег, ГУМ). Физические тома ГУМ позволяют создавать 
пулы дискового пространства, называемые группами томов. Группы томов дают 
большую гибкость при увеличении и уменьшении логических томов, чем при не- 
посредственном изменении размера разделов диска. 

Для Глпих требуется по крайней мере один раздел диска, назначенный для 
гоої (/) всей файловой системы Глпих. Однако чаще всего отдельные разделы на- 
значаются определенным каталогам, таким как /һоте, /уаг и/или /ётр. Каждый 
из разделов подключается к более крупной файловой системе Глпих, монтируя ее 
в точку файловой системы, где вы хотите использовать этот раздел. Любой файл, 
добавленный в каталог точки монтирования раздела или подкаталога, хранится 
в этом разделе. 


ПРИМЕЧАНИЕ 


Слово «монтировать» (тоипї) означает подключение файловой системы с жесткого диска, 15В-накопителя или 
сетевого устройства хранения данных к определенной точке файловой системы. Это действие выполняется с по- 
мощью команды тоштї, а также параметров, указывающих команде, где находится запоминающее устройство 
и ккакому каталогу в файловой системе его следует подключить. 
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Подключение разделов диска к файловой системе Глпих выполняется автома- 
тически и незаметно для конечного пользователя. Как же это происходит? Каждый 
раздел обычного диска, созданный при установке Глпих, связан с именем устрой- 
ства. Запись в файле /еёс/#ѕ+аь сообщает Глпих имя устройства каждого раздела 
и место его монтирования (а также другие биты информации). Монтирование 
выполняется при загрузке системы. 

Большая часть этой главы посвящена тому, как нужно разделять и подключать 
диск компьютера для формирования файловой системы Ііпих, а также как разби- 
вать диски, форматировать файловые системы и раздел подкачки и использовать 
эти элементы при загрузке системы. Затем мы рассмотрим, как выполнить разби- 
ение диска и создать файловую систему вручную. 


Отличие от \п4о\$ 


Файловые системы в Глпих организованы иначе, чем в операционных системах 
Мисгозой У\Лт4о\уз. Вместо того чтобы обозначать диски, сетевые файловые системы, 
СО-КОМ и другие типы носителей буквами (например, А:, В:, С:), все носители четко 
вписывают в структуру каталогов пих. 


Некоторые диски автоматически подключаются (монтируются) в файловую систему 
при добавлении съемных носителей. Например, СО может быть установлен в ката- 
логе /тейіа/сігот. Если диск не монтируется автоматически, администратор должен 
создать в файловой системе точку монтирования, а затем подключить к ней диск. 


Піпих понимает файловые системы УЕАТ, которые часто являются форматом по 
умолчанию для ОЗВ-накопителей. Форматы ОЗВ-накопителя УЕАТ и ехЕАТ по- 
зволяют обмениваться данными между системами іпих и \/ш4о\уз. Поддержка ядра 
Тіпих доступна для файловых систем МТЕЗ, которые сейчас обычно используются 
в \тао\уз. Однако МТЕЅ, а иногда и ехЕАТ требуют установки дополнительных 
драйверов ядра в пих. 


Файловые системы УЕАТ обычно применяются для обмена файлами между различ- 
ными типами операционных систем. Поскольку УЕАТ использовалась в М5-рОЅ 
и ранних операционных системах \/тао\уз, ее можно считать хорошим способом 
передачи файлов между многими типами систем, включая Гіпих. МТЕЅ — это тип 
файловой системы, наиболее часто задействуемый в современных системах Мисгозой 
М/тао\у. 


Разбиение жесткого диска 


В Ппих существует несколько инструментов для управления разделами жесткого 
диска. Необходимо знать, как разбить диск на разделы, если вы хотите добавить 
диск в свою систему или изменить его конфигурацию. 
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В следующих разделах рассмотрим разбиение диска на разделы с помощью 
съемного ОЅВ-накопителя и фиксированного жесткого диска. Для безопасности 
я беру ОЅВ-накопитель, не содержащий никаких важных данных. 


Разбиение диска может вызвать сбои в системе 


Я не советую использовать основной жесткий диск вашей системы, чтобы попрак- 
тиковаться в разбиении диска, так как из-за любой ошибки система может пере- 
стать загружаться. Даже если вы возьмете для этого отдельный О$В-накопитель, 
неправильная запись в файле /ес/Ғѕ+аь может привести к зависанию системы при 
перезагрузке. Если после разбиения диска на разделы система не загружается, об- 
ратитесь к главе 21, чтобы узнать, как устранить эту проблему. 


Таблицы разделов 


Настольные компьютеры традиционно используют таблицы разделов Маяет ВооЕ 
Кесота (МВВ) для хранения информации о размерах и расположении разделов 
жесткого диска. Существует множество хорошо известных инструментов для 
управления разделами МВК. Однако несколько лет назад новый стандарт — та- 
блицы разделов СИТО — начал применяться в системах как часть компьютерной 
архитектуры ОЕҒІ для замены старого метода загрузки системы ВТО$. 

Многие инструменты разбиения дисков Глпах были обновлены для обработки 
новых таблиц разделов СЛР (врі). Были добавлены и другие инструменты для 
обработки таблиц разделов СОТО. Поскольку популярная команда +941$К не под- 
держивает =рё-разделы, вместо нее в примерах этой главы применяется коман- 
да рагееа. 

Ограничения, наложенные спецификацией МВК, вызвали потребность в раз- 
делах СОТО. В частности, размер МВВ-разделов ограничен 2 Тбайт. Разбиение 
СИТО может создавать разделы размером до 9,4 Збайт (зеттабайт). 


Просмотр разделов диска 


Для просмотра разделов диска используйте команду раг+еа с параметром -1. Далее 
приведен пример разбиения на фиксированном жестком диске емкостью 160 Гбайт 
в системе Кеа Наб Епѓегргіѕе Ііпих 8: 


# раг+еа -1 /аеу/$4а 

ріѕк /4еу/заа: 160.0 СВ, 160000000000 Бу+еѕ, 312500000 ѕес+огѕ 
ОпіЄѕ = ѕесіогѕ оф 1 * 512 = 512 Бу+еѕ 

Ѕесіог $17е (1оріса1/рһуѕіса1): 512 бу+еѕ / 512 бу+еѕ 

Т/О $17е (тіпітит/орёіта1): 512 бу+еѕ / 512 бу+еѕ 

ріѕк 1абе1 +уре: 40$ 
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ріѕк ідепііҒіег: 0х0008870с 


Реуісе Воо Ѕ+агі Епа В1оск5 14 буѕ+ет 
/аеу/ѕӣа1 Е 2048 1026047 512000 83 Ііпих 
/аеу/ѕӣа2 1026048 304281599 151627776 8е Ііпих Е\М 


При добавлении ОЗВ-накопитель назначается следующему доступному устрой- 
ству 59. В следующем примере показано разбиение на разделы жесткого диска 
(/4ем/зда) и ОЗВ-накопителя из системы Еейога 30, где /аем/за6 назначается 
в качестве имени ОЗВ-устройства (второго диска в системе). Это новый ОЅВ- 
накопитель на 128 Гбайт: 


# Ғаіѕк -1 /аем/5а6 


Хотя этот диск был назначен файлу /дем/заь, ваш диск может быть назначен 
другому устройству. Как это понять? 


® Запоминающее устройство 5С5І или (ЗВ, представленное устройством $4? 
(например, $Ча, за, ѕӣс и т. д.), может иметь до 16 второстепенных устройств 
(например, основное устройство /де\м/з4с и /4е\у/$4с1 через /аеу/ѕ1с15). 
Таким образом, всего может быть 15 разделов. Встроенный $$), представ- 
ленный устройством путе (например, п\уте@, путе1, путе2 и т. д.), может быть 
одним пространством имен и разделов или разбит на несколько (большинство 
устройств просто использует первое пространство имен). Например, файл /деу/ 
путеёп1р1 представляет первый раздел в первом пространстве имен на первом 
$5$)-накопителе МУ Ме. 


® На компьютерах х86 диски могут разделяться максимум на четыре части. 
Таким образом, чтобы иметь больше четырех полных разделов, один из них 
нужно расширить. Любые разделы, выходящие за пределы четырех основных 
разделов, являются логическими разделами, использующими пространство из 
расширенного раздела. 


® Поле ій указывает на тип раздела. Обратите внимание на то, что в первом при- 
мере есть раздел Глпих ГУМ. 


Ваш первый основной жесткий диск обычно отображается как /де\м/зда. 
При установке КНЕГ и Еейога чаще всего добавляется по крайней мере один раз- 
дел ГУМ, созданный инсталлятором, из которого могут быть назначены другие 
разделы. Таким образом, вывод команды #іѕк может быть таким же простым, как 
в примере: 

# раг+еа -1 
ріѕк /аӢеу/ѕаа: 500.1 СВ, 500107862016 бу+еѕ 


Первый раздел имеет размер примерно 210 Мбайт и монтируется в каталоге 
/боо+/е+і. Второй раздел (1074 Мбайт) монтируется в разделе /боо+. Для более 
старых таблиц разделов МВК существует только раздел /боо*. В боо в колонке 
Е1авѕ указывается то, что это загрузочный раздел. Остальная часть диска задей- 
ствуется разделом ГУМ, который в конечном итоге используется для создания 
логических томов. 
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Я рекомендую пока не использовать жесткий диск, а найти пустой ОЅВ- 
накопитель. На нем вы можете опробовать команды, описанные далее. 


Создание диска с одним разделом 


Чтобы добавить новый носитель информации (жесткий диск, ОЗВ-накопитель или 
аналогичное устройство) на компьютер и использовать его в [лпих, сначала нужно 
подключить дисковое устройство к компьютеру, а затем разбить диск на разделы. 
Порядок действий такой. 


1. Установите новый жесткий диск или вставьте новый (7$В-накопитель. 
2. Разбейте диск на разделы. 

3. Создайте на новом диске файловые системы. 

4 


Смонтируйте файловые системы. 


Самый простой способ добавить диск или ОЗВ-накопитель в Глпих — это отве- 
сти весь диск одному разделу пах. Однако при желании можете иметь несколько 
разделов и назначать их для разных типов файловых систем и разных точек мон- 
тирования. 

Далее рассмотрим порядок действий в Шіпих для создания ОЅВ-накопителя 
с одним разделом. Если у вас уже есть пустой ОЅВ-накопитель (любого размера), 
можете во время чтения выполнить описанные действия. (О том, как разбить диск 
на несколько разделов, поговорим позже.) 


ПРЕДУПРЕЖДЕНИЕ 


Если при разбиении диска на разделы с помощью команды рагїеа вы допустили ошибку, убедитесь, что она ис- 
правлена. В отличие от команды АК, когда можно просто ввести команду д и выйти без сохранения, команда 
рагїей сохраняет и применяет изменения сразу же, поэтому просто выйти не получится. 


1. Подключите О$В-накопитель к доступному ОЗВ-порту. Я буду использовать 
128-гигабайтный О$В-накопитель, но вы можете взять его любой емкости. 


2. Определите имя устройства для О5В-накопителя. От имени суперпользовате- 
ля из командной консоли введите команду јоигпа1с+1, а затем вставьте ОЅВ- 
накопитель. Появятся сообщения, отображающие имя устройства, которое 
вы только что подключили (нажмите сочетание клавиш СН1+С, чтобы выйти из 
команды *а11, когда закончите): 


# јоигпа1с+1 -# 

Кегпе1: изб 4-1: пем ЅирегЅрееа беп 1 ОЅВ Яеуісе питбег 3 и$1п8 
хһсі һса 

Кегпе1: иѕр 4-1: Мем ОЅВ аеу1се Ғоипа, 1а\епаог=0781, 
іаргоаисе=5581, бсареуісе= 1.00 

Кегпе1: изб 4-1: №м ОЅВ Яеуісе ѕ+гіпеѕ: МЕг=1, Ргодис*=2, 
Ѕегіа1Митрег=3 
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Кегпе1: иѕр 4-1: Ргодис*: У1]га 
Кегпе1: из 4-1: Мапифасфигег: $ап01$К 


Кегпе1: $4 6:0:0:0: Аї+асһеа 5с5і репегіс $82 +уре 0 

Кегпе1: 546: $961 

Кегпе1: $4 6:0:0:0: [$496] А+асһеа 5с5І гетоуаб1е 41$К 

иаіѕкѕ4[809]: Моип+еа /4ем/за61 аё /гип/тедіа/сһгіѕ/7рЕВ-Ве10 
оп Ббеһа1Ғ о+ иіа 1000 


3. Из выходных данных видно, что О$В-накопитель был найден и назначен файлу 
/ае\м/заЪ. (Имя вашего устройства может отличаться.) Он также содержит один 
форматированный раздел 961. Убедитесь, что вы точно определили нужный 
диск, иначе можете потерять все данные с других дисков. 


4. Если ОЗВ-накопитель монтируется автоматически, размонтируйте его. Пример 
иллюстрирует, как найти разделы О5В и размонтировать их: 


# тоипе | егер $46 
/аем/5461 оп /гип/тедіа... 
# итоипЕ /4еу/$461 


5. С помощью команды раг+еа создайте разделы на ОЅВ-накопителе. Например, 
если вы форматируете второй диск ОЅВ, ЅАТА или 5СЗ1 (за), введите следу- 
ющее: 

# раг+еа /аеу/заь 

СМУ Раг+еа 3.2 

Оѕіпе /4еу/$а6 

Ме1соте +о СМИ Рагееа! Туре 'һе1р' +о уіем а 1151 оф соттапӣѕ. 
(раг+еа) 


Теперь вы находитесь в режиме команды раг+еа, в котором можно применять 
набор однобуквенных команд для работы с разделами. 


6. У нового, чистого 05В-накопителя может быть один раздел, полностью от- 
веденный для файловой системы, совместимой с системой Ұіпіо%ѕ, например 
УҒАТ или ЕАТЗ2. Используйте команду р для просмотра всех разделов, чтобы 
удалить раздел. Вот как это выглядело у меня: 


(раг+еа) р 

Моде1: Ѕапріѕк О1+га (5с51і) 

ріѕк /аеу/5а6: 1236В 

5есфог $17е (1оріса1/рһуѕіса1): 5128/5128 
Раг{11оп Таб1е: тѕ05 

ріѕк Е1арѕ: 


Митбег Ѕеагїі Епа 5$17е Туре Е11е зуз&ет Е1арѕ 
1 16.4КВ 1236В 1236В ргітагу Ға+32 1ба 
(рагёеа) гм 

Рагіїіоп питбег? 1 


7. 


10. 
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Переименуйте диск на диск с таблицами разделов ері. 


(рагёеа) тк1абе1 ері 

Магпіпе: Тһе ехіѕъіпе аіѕк 1абе1 оп /аеу/5а6 м111 Бе еѕїгоуеа апа а11 аа+а 
оп һіѕ аіѕК м111 бе 105+. ро уои мапе +о сопёіпие? 

Үе5/№? Үеѕ 

(раг+еа) 


Чтобы создать новый раздел, введите команду ткраг+. Вам будет предложено 
задать тип файловой системы, а затем начало и конец раздела. В примере далее 
раздел называется а1191$К, тип файловой системы — х#ѕ, начинается с 1М и за- 
канчивается на 12368: 


(рагёеа) ткрагё 

Рагіі+іоп пате? []? а11аіѕКк 
Е11е ѕуѕёет Журе? [ех+2]? х#5 
Ѕ+агі? 1 

Епа? 1236В 


Дважды проверьте, что диск разделен так, как нужно, нажав клавишу р. (Ваши 
выходные данные будут отличаться — они зависят от размера диска.) 


(рагъеа) р 

Моӣе1: Ѕапріѕк Ц1{га ($с$1) 

ріѕк /аеу/за6: 12368 

5есфог ѕіғе (1021са1/рНну$1са1): 5128/5128 
Рагёііоп Таб1е: вре 

ріѕк Е1арѕ: 


Митбег Ѕ+Еаг+ Епа 5$17е  [11е зузфет Мате Е1арѕ 
1 1049кВ 1236В 12368 х#5 а1141$К 


Разбиение диска выполнено, однако новый раздел еще не готов к применению. 
Далее нужно создать в нем файловую систему. Чтобы создать файловую систему 
в новом разделе диска, возьмите команду мК5. По умолчанию она создает фай- 
ловую систему ехї2, которую можно использовать в Глпих. Однако в большин- 
стве случаев лучше задействовать файловую систему с возможностью ведения 
журнала, например, ехіЗ, ехі4 или хБ. Чтобы создать файловую систему хіѕ 
в первом разделе второго жесткого диска, введите следующее: 


# шКЕ$ -Ё х#5 /адем/ 501 


СОВЕТ 


Вы можете использовать различные команды или параметры этой команды для создания других типов файловых 
систем. Например, примените команду тКїѕ.ехѓаї, чтобы создать файловую систему МУРАТ, тКёѕ.п15105 — для соз- 
дания 005, ткЁ.ехќ — для ехід. Файловая система МЕАТ или ехЕАТ (доступная сЏбипќи) может понадобиться, если 
нужно обмениваться файлами между системами пих, Міпӣоууѕ и Мас. 
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11. 


12. 


13. 


Чтобы использовать новую файловую систему, нужно создать точку монтиро- 
вания и подключить ее к разделу. Пример того, как это сделать, показан далее. 
Затем нужно убедиться, что монтирование прошло успешно: 


# ткаіг /тпЕ/ееѕ+ 

# тоипЕ /деум/5ѕар1 /тпЕ/Ееѕ+ 

# ағ -һ /мпё/ѕаб1 

Рі1еѕуѕет Ѕіле Џѕеа Ауаі1 Оѕе% Моип+еа оп 
/аем/ 5461 1156 13М 1156 1% /тпі/ееѕ+ 


Команда 9+ показывает, что /деу/ 5161 монтируется на /тпё/+еѕ+ и предлагает 
около 115 Гбайт дискового пространства. Команда тоипё показывает все смон- 
тированные файловые системы, но в примере указана только $4951, чтобы пока- 
зать, что она смонтирована. Любые файлы или каталоги, которые вы создадите 
позже в каталоге /тпё/+еѕ+, а также в любом из его подкаталогов, хранятся на 
устройстве /деу/ 5461. 


Когда закончите работать с диском, его можно размонтировать с помощью ко- 
манды иптоип*, после чего безопасно удалить (см. описание команды оптоипё 
далее в этой главе на случай, если эта команда завершится неудачно): 


# итоипЕ /4еу/$461 


Обычно О$В-накопитель не настраивается для автоматического монтирова- 
ния при каждой загрузке системы, потому что монтируется автоматически 
при подключении. Но при желании вы можете отредактировать файл /еёс/ 
Ғѕ+ар и добавить строку, описывающую, что и где монтировать. Вот пример 
такой строки: 


/аем/ 5461 /мпе/%ееѕ+6 хЕ5 аеҒаи1+ѕ е1 


В этом примере раздел /деу/ѕ161 монтируется в каталог /тпё/+еѕё как файловая 
система х#ѕ. Ключевое слово 4е+аи1*$ устанавливает, что раздел монтируется 
во время загрузки. Значение ё указывает системе не создавать автоматически 
резервные копии файлов из этой файловой системы с помощью команды дитр 
(теперь она используется редко, но это поле здесь есть). Значение 1 в последнем 
столбце указывает системе проверить раздел на наличие ошибок после опреде- 
ленного количества монтирований. 


Теперь у вас есть рабочий постоянный раздел диска. В дальнейшем описывает- 


ся, как разбить ДИСК, содержащий несколько разделов. 


Создание диска с несколькими разделами 


Теперь, когда вы знакомы с основным процессом разбиения диска на разделы, 
добавления файловой системы и предоставления ей доступа (временно и посто- 
янно), пришло время попробовать выполнить более сложный вариант разбиения. 
Возьмем тот же самый 128-гигабайтный О$В-накопитель и проделаем все то, что 
описано далее, чтобы создать несколько разделов на одном диске. 
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В данном случае я настроил раздел Маѕќег Вооё Кесот4 (МВК), чтобы проил- 
люстрировать работу расширенных разделов и применить более старую команду 
+915К. Я создал два раздела по 5 Гбайт ($а61 и $462), два по З Гбайт ($963 и $965) 
и один на 4 Гбайт ($966). Устройство $964 будет использоваться как расширенный 
раздел, который занимает все оставшееся дисковое пространство. Пространство для 
разделов 5455 и 5466 берется из расширенного раздела. Таким образом, остается 
достаточно места для создания новых разделов. 

Как и в предыдущем примере, вставьте О5В-накопитель и определите имя 
устройства (в моем случае это /деу/ѕа6). Кроме того, обязательно отключите 
все разделы, которые монтируются автоматически при подключении О5В- 
накопителя. 


СОВЕТ 


При указании размера каждого раздела введите знак плюс и количество мегабайт или гигабайт, которые вы 
хотите ему назначить. Например, укажите +1024М для создания 1024-мегабайтного раздела или +106 — для 
10-гигабайтного. Обязательно используйте знак плюс (+) и букву М или С! Если забыть их указать, команда #41 
будет разделять диск на секторы, что может привести кнеожиданным результатам. 


1. Я начал процесс с перезаписи О$В-накопителя командой аа (аа 1+=/ае\м/ 
2его о+=/4еу/з4<питрег> Б5=1М соипі=100). Это позволило начать с новой глав- 
ной загрузочной записи. Будьте осторожны и указывайте правильный номер 
диска, иначе можно стереть всю операционную систему! 


2. Создайте шесть новых разделов. 


# Ғаіѕк /аеу/$а6 

Ме1соте фо Ғаіѕк (и%11-11пих 2.33.2). 

Сһапреѕ м111 гета1п іп метогу оп1у, ип{11 уои есійе +о мгіёе Вет. 
Ве сагефи1 Бефоге иѕіпе һе мгі+е соттапа. 


"Оеуісе Яоеѕ поё сопфа1п а гесорпіғеа рагбіїіоп +аб1е. 
Сгеа+еа а пем 005$ 41$К1абе1 міЁһ аїіѕк іаеп&іҒіег 0х8933+665. 
Соттапа (т Ғог һе1р): п 
Рагіііоп уре 

р  ргипагу (9 ргітагу, @ ехёепӣеа, 4 +гее) 

е ех+іепаеа (сопёаіпег Ғог 1021са1 рагЕ11оп$) 
Ѕе1есі (4ефаи1 р): р 
Рагіёіоп питбег (1-4, дефаи1* 1): 1 
Рігѕі ѕесіог (2048-240254975, еҒаи1+ 2048): 
[аз ѕесіог, +/-ѕесіогѕ ог +/-5іғе{кК,М,6,Т,Р} (2048-240254975, ЯеҒаџ1+ 
240254975): +56 


Сгеа+еа а пем рагііёіоп 1 о +уре '11пих' апа о# ѕіхе 5 С1В. 


Соттапа (т Ғог һе1р): п 
Рагіі+іоп уре 
р ргітагу (1 рг1тагу, 9 ехёепаеа, 3 +гее) 
е ехіепӣеа (сопфа1пег +ог 1оріса1 рагііїіопѕ) 
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Ѕе1есі (аеҒаџ1+ р): р 

Рагіііоп питбег (2-4, еҒаџ1+ 2): 2 

Рігѕі ѕесіог (10487808-240254975, йеҒаи1+ 10487808): 

Гаѕі зесфог, +/-зесфог$ ог +/-517е{К,М,б,Т,Р} (10487808-240254975, 4ефаи1+ 
240254975): +56 


Сгеафе а пем рагіі+іоп 2 о# фуре '11пих' апа о+ ѕіхе 5 С1В. 


Соттапа (т Фог һе1р): п 
Рагіі+іоп +уре 
р ргітагу (2 рг1тагу, 9 ех+епаеа, 2 +гее) 
е ех+епаеа (сопёаіпег Фог 1Іоріса1 раг+іїіопѕ) 
Ѕе1есі (аеҒаџ1+ р): р 
Рагіііоп питрег (3,4, еғҒаџ1 3): 3 
Рігѕі ѕесіог (20973568-240254975, йеҒаи1+ 20973568): 
Гаѕі зесфог, +/-зесфог$ ог +/-517е{К,М,б,Т,Р} (20973568-240254975, 4ефаи1+ 
240254975): +36 


Сгеафе а пем рагЕ11оп 3 оф фуре '11пих' апа о+ ѕіғе 3 СіВ. 


Соттап (т Фог һе1р): п 
Раг{1+1оп +уре 
р ргітагу (3 рг1тагу, 9 ех+епаеа, 1 +гее) 
е ех+епаеа (сопфа1пег Фог 1Іоріса1 раг+іїіопѕ) 
Ѕе1есі (аеҒаи1+ е): е 
Ѕе1есіеа рагіі+іоп 4 
Рігѕі ѕесіог (27265024-240254975, 4ефаи1+ 27265024): 
[а$= ѕесёог, +/-зесфог$ ог +/-517е{К,М,б,Т,Р} (27265024-240254975, 4ефаи1+ 
240254975): <ЕМТЕВ> 


Сгеафе а пем рагіі+іоп 4 оф фуре 'Ехёепӣеа' апа о+ $17е 101.6 С1В. 


Соттапа (т +ог һе1р): п 

А11 ргітағу рагіітіопѕ аге іп иѕе. 

Аааіпе 1051са1 рагЕ11оп 5 

Рігѕі ѕесіог (27267072-240254975, йеҒаи1+ 27267072): 

[а$= зесфог, +/-зесфог$ ог +/-ѕіғе{К,М,6,Т,Р} (27267072-240254975, 4ефаи1+ 
240254975): +36 


Сгеафе а пем рагіі+іоп 5 о+ фуре '11пих' апа о+ $12е 3 С1В. 


Соттап (т Фог һе1р): п 

А11 ргітағу рагЕ11о0п$ аге іп иѕе. 

Аааіпе 1Іоріса1 рагЕ11оп 6 

Рігѕ+ ѕесіог (33560576-240254975, йеҒаи1+ 33560576): 

Іаѕі ѕесёог, +/-зесфог$ ог +/-ѕіғе{К,М,6,Т,Р} (33560576-240254975, 4ефаи1+ 
240254975): +46 


Сгеафе а пем рагЕ11оп 6 о+ +уре '11пих' апа о+ $17е 4 СіВ. 
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3. Перед сохранением проверьте разбиение, введя параметр р. Обратите внима- 
ние на то, что существует пять разделов ($4с1, ѕ1с2, ѕ1с3, з4с5 и $4с6) и между 
столбцами Ѕёаг+ и Епа сектор ѕӣс4 поглощается секторами ѕӣс5 и ѕ1с6: 


Соттапа (т Фог һе1р): р 


"Реуісе Воо Ѕ+агі Епа 5есфог5 5іғе Та Туре 


/аеум/ѕа61 2048 10487807 10485760 56 83 11пих 
/аем/59602 10487808 20973567 10485760 56 82 11пих 
/аеу/$463 20973568 27265023 6291456 36 83 11пих 
/ае\у/$964 27265024 240254975 212989952 101.66 5 Ехфепаеа 
/ае\у/$965 27267072 33558527 6291456 36 83 11пих 
/аем/ѕа66 33560576 41949183 8388608 46 83 Е1пих 


4. Тип раздела по умолчанию — это Глпих. Я решил, что хочу использовать не- 
которые разделы для пространства подкачки (введите 82), ЕАТЗ2 (введите х) 
и Ипих ІУМ (введите 8е). Для этого набрал параметр + и указал нужный тип 
раздела. Введите параметр |, чтобы просмотреть список типов разделов: 


12 


Соттапа (т Фог һе1р): + 

Рагёііоп питбег (1-6): 2 

Нех соде (%уре | Фо 1151 сойеѕ): 82 

Сһапреа +уре оф рагіітіоп 'Ііпих' Фо 'Ё1пих ѕмар / Ѕо1агіѕ'. 


Соттапа (т Фог һе1р): + 


Рагёііоп питбег (1-6): 5 
Нех сое (+уре | Ко 1151 сойеѕ): с 
Сһапреа +уре оф рагіітіоп 'Ё1пих' фо 'М95 ҒАТЗ2 (ІВА) '. 


Соттапа (т Фог һе1р): + 


Рагёііоп питбег (1-6): 6 
Нех сое (+уре | о 1151 сойеѕ): 8е 
Сһапреа +уре оф рагіі+іоп 'Ііпих' Фо 'Ііпих 1М№М'. 


5. Теперь следует проверить, соответствует ли таблица разделов тому, что нужно, 
а затем записать изменения: 


Соттапа (т Фог һе1р): р 


"Реуісе Воо Ѕ+агі Епа бЅесіогѕ біле Та Туре 


/аеу/ѕа61 2048 10487807 10485760 56 83 11пих 

/аем/54602 10487808 20973567 10485760 56 82 1іпих ѕмар / $01аг1$ 
/аем/ѕабз 20973568 27265023 6291456 36 83 11пих 

/ае\у/$954 27265024 240254975 212989952 101.66 5 Ехфепаеа 

/ае\у/$965 27267072 33558527 6291456 36 с М95 РАТЗ2 (ІВА) 
/аем/ѕа66 33560576 41949183 8388608 46 8е Ііпих ММ 


Соттапа (т Фог һе1р): м 


330 Часть ПТ • Администрирование системы в Ипих 


Тһе раг+1Е1оп +аб1е һаѕ Бееп а1%егеа! 

Тһе Кегпе1 $+111 иѕеѕ һе о1а раг+ібіопѕ. Тһе пем +аБ1е м111 Бе иѕеа а+ 
{Пе пех гебоо*. 

Зупс1пё 415К5 


6. После завершения записи убедитесь, что ядро знает об изменениях в таблице 
разделов. Для этого выполните поиск $9 в каталоге /ргос/рагЕ1Е1оп$. Если но- 
вых устройств там нет, выполните команду рагіргоре /аеу/ѕаь на диске или 
перезагрузите компьютер: 


# егер $46 /ргос/рагЕ11оп$ 

8 16 120127488 510 

8 17 120125440 5101 
# рагіргобе /ӣем/5а6Ь 
# вгер $46 /ргос/раг+і+іопѕ 

8 16 120127488 510 
17 5242880 ѕаб1 
18 5242880 5462 
19 3145728 $463 
20 1 5464 
21 3145728 $4965 
22 4194304 за66 


со со о о о о 


7. Теперь разделы настроены для различных типов содержимого, но, чтобы сфор- 
мировать из разделов файловые системы или области подкачки, требуются 
другие команды. Вот как это сделать с только что созданными разделами. 


= 01. Чтобы превратить его в обычную файловую систему Гіпих ехё4, введите: 


# мКЕ$ -Ё ехЕ4 /4еу/$а61 


" 5402. Чтобы превратить его в область подкачки, введите: 
# мкѕмар /деу/5а62 

= 5453. Чтобы превратить его в файловую систему ех+2 (по умолчанию), вве- 
дите: 
# шКЕ$ /деу/$а6з 

= 5465. Чтобы превратить его в файловую систему УҒАТ (по умолчанию), 
введите: 


# мКЕ$ -Ё Уфаф /аеу/$а65 


= $4966. Чтобы превратить его в физический том ІУМ, введите: 
# русгеафе /4еу/за66 


Теперь разделы готовы к монтированию, использованию в качестве областей 
подкачки или добавлению в группу томов ГУМ. См. раздел «Использование раз- 
делов ГУМ», чтобы узнать, как физические тома ТУМ применяются для оконча- 
тельного создания логических томов ГУМ из групп томов. См. раздел «Монтиро- 
вание файловых систем» далее, чтобы узнать, как монтировать файловые системы 
и включать области подкачки. 
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Использование разделов ІММ 


Базовое разбиение диска в іпих имеет свои недостатки. Что произойдет, если за- 
кончится место на диске? Раньше распространенным решением было скопировать 
данные на более крупный диск, перезагрузить систему с новым диском и надеяться 
на то, что в ближайшее время место снова не закончится. А это означало простои 
и неэффективность. 

Менеджер логических томов (Говіса! Уо[ате Мапабег, ГУМ) гораздо более 
гибок и эффективен, когда в ходе работы постоянно увеличиваются потребности 
в хранении данных. С помощью ГУМ физические разделы диска добавляются 
в пулы пространства, называемые группами томов. Логическим томам назначается 
место в группах томов по мере необходимости. Что это дает? 


® Добавляется больше места на логический том из группы томов, пока он ис- 
пользуется. 


© Добавляются дополнительные физические тома в группу томов, если в ней 
скоро закончится место. Физические тома могут быть компакт-дисками. 


е Можно переносить данные из одного физического тома в другой, позволяя 
удалять диски меньшего размера и заменять их более крупными во время ис- 
пользования файловых систем, то есть без простоев. 


С помощью ГУМ проще сжимать файловые системы и освобождать место 
на диске, хотя сжатие требует размонтирования логического тома (перезагрузка 
не требуется). ТУМ также поддерживает расширенные функции, такие как зерка- 
лирование и работа в кластерах. 


Проверка существующего ІММ 


Начнем с рассмотрения существующего менеджера ІУМ в системе Кеа Наг 
Епбегргіѕе Глпих. Следующая команда отображает разделы на моем первом жест- 
ком диске: 

# Ғаіѕк -1 /аем/$4а | 5гер /аеу/ѕӣа 

ріѕк /4е\у/з4а: 160.0 СВ, 160000000000 Бу+еѕ 


/аем/ѕда1 Ы 2048 1026047 512000 83 Ііпих 
/аем/ѕда2 ы 1026048 312498175 155736064 Ве ЕЗипих 1М№М 


В этой системе ВНЕГ. жесткий диск объемом 160 Гбайт разбит на раздел Глпих 
объемом 500 Мбайт ($4а1) и раздел Глпих ТУМ, который занимает остальную часть 
диска ($4а2). Затем я ввел команду руӣїѕр1ау, чтобы увидеть, используется ли этот 
раздел в группе ГУМ: 


# рмаіѕр1ау /аем/$4а2 
--- Рһуѕіса1 мо1ите --- 
РМ Мате /дем/$да2 
\/\б Мате уе абс 
РҮ $17е 148.52 СіВ / поё изаб1е 2.00 М1В 
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А11осафаб1е уеѕ (биё +и11) 

РЕ Ѕіғе 4.00 МіВ 

Тофа1 РЕ 38021 

Егее РЕ [2] 

А11осафеа РЕ 38021 

РМ ЦТО м1уиТу-01Т2-рММО-+393-онех-9+оо-АОТТ7В 


В примере видно, что физический том УМ, представленный /де\/зда2, зани- 
мает 148,52 Гбайт и все это пространство выделено группе томов с именем \5_абс. 
Наименьшая единица хранения, которая может быть использована из этого физи- 
ческого тома, составляет 4 Мбайт, что называется физическим экстентом (РБуз1са| 
Ежепь, РЕ). 


ПРИМЕЧАНИЕ 


Обратите внимание на то, что утилиты ІММ отображают дисковое пространство в мебибайтах (МиБ) и гибибай- 
тах (ГиБ). Один мегабайт составляет 1 000 000 байт (106), а 1 МиБ — 1 048 576 байт (220). Мебибайт — это более 
точная единица отражения того, как данные хранятся на компьютере. Но маркетологи, как правило, используют 
мегабайт, потому что так кажется, что жесткие диски, С и рур имеют большую емкость, чем на самом деле. 
Имейте в виду, что большинство инструментов в Ипих отображают данные хранилища в мебибайтах и гибибай- 
тах, хотя некоторые могут отображать также в мегабайтах и гигабайтах. 


Далее рассмотрим данные о группе томов: 


# ува15р1ау уё_абс 
--- \Мо1ите вгоир --- 


\/б Маме уе абс 

Ѕуѕ№ет ТО 

Еогта+ 1\т2. 

Метадафа Агеа$ 1 

Метадафа Ѕедиепсе № 4 

ҮС Ассеѕѕ геаа/мгібе 

үс Ѕ&аёиѕ геѕіғар1е 

МАХ ІМ е 

Сиг М 3 

Ореп Е\ 3 

Мах Р\ е 

Сир РУ 1 

АСЕ РУ 1 

ҮС 5іғе 148.52 СіВ 

РЕ $17е 4.00 МіВ 

Тофа1 РЕ 38021 

А110ос РЕ / $12е 38021 / 148.52 СіВ 
Егее РЕ / $12е е/е 

үс ЦТО с256НМ- КО9Н-мЫЬХМ- ѕ=рса- ЕЄВг-ОХАд-ОппѕТтһ 


В примере видно, что выделен 38 021 РЕ (физический экстент). Используя 
команду 1\915р1ау, как показано далее, можно увидеть, где они были распределены 
(я сократил некоторые выходные данные): 
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# 1\а15р1ау уё_аБбс 
--- 1021са1 мо1ите --- 


ІМ Маме /аеу/мв_абс/1у гоо 
Үс Мате уе абс 

ІМ чото ЗЗМерс- јав -һ1сс-КМив-Ксм-ОуЕі-сКС2да 
ІМ иг1{е Ассеѕ5 геаа/мгі+е 

ІМ Ѕ+а+иѕ амаі1аб1е 

# ореп 1 

ІМ 517е 50.00 СіВ 

Сиггепе ЕЕ 12800 

Ѕертепіѕ Т 

А110оса+іоп іпһегі 

Кеаа аһеаа зесфог$ аиёо 

- сиггепЁ1у ѕе фо 256 

В1оск ае\у1се 253:0 

--- 1021са1 мо1ите --- 

ІМ Маме /аеу/ме_абс/1%у Һоте 
\/б Маме уе абс 

ІМ 517е 92.64 СіВ 

--- 1021са1 мо1ите --- 

ІМ Маме /аем/м=_абс/1\_мар 
\/б Мате уе абс 

ІМ 517е 5.88 СіВ 


Существует три логических тома, определяющих пространство из ув _абс. 
Каждый логический том связан с именем устройства, которое включает имя груп- 
пы томов и имя логического тома: /деу/ув_абс/1у_ гоо (50 Гбайт), /4еу/ув_аБс/ 
1у_һоте (92,64 Гбайт) и /аеу/ув_абс/1у_ѕмар (5,88 Гбайт). Другие устройства, 
связанные с этими именами, находятся в каталогах /еу/таррег: ує_абс-1у_ һоте, 
УБ_абс-1\_гоо* и ув абс-1у ѕмар. Чтобы ссылаться на эти логические тома, можно 
использовать любой набор имен. 

Корневой и домашний логические тома форматируются как файловые системы 
ех{4, а логический том подкачки — как раздел подкачки. Заглянем в файл /ефс/ 
Ғѕ+ар, чтобы увидеть, как применяются эти логические тома: 


# вгер уё_ /еёс/Ғѕ%аБ 


/аеу/таррег/мв_абс-1\_гоо* / ех{4 аеҒаи1+ѕ 11 
/аем/таррег/м=_абс-1\_Ноте /һоте ехё4  аефаи145 12 
/аеу/таррег/ур_абс-1у ѕмар ѕмар ѕмар ЯеғҒаи1+ѕ< Өө 


Нарис. 12.1 показано, как различные разделы, группы томов и логические тома 
соотносятся со всей файловой системой Глпих. Устройство ѕаа1 форматируется как 
файловая система и монтируется в каталог /боо*. Устройство зда2 предоставляет 
место для группы томов \мв_аБс. Затем логические тома 1у Һоте и 1\_гоо* монти- 
руются в каталоги /һоте и / соответственно. 

Если вам не хватает места в любом из логических томов, можно назначить боль- 
ше места из группы томов. Если в группе томов не хватает места, можно добавить 
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другой жесткий диск или сетевой накопитель и объединить его с пространством 
группы томов. 


/ < 
/оіп /ооої /еїс оте... 4 
А 
/аеу/таррег/м9 _абс-ім_ гоої 
е /Ае\м/таррег/ид_абс-№/_ поте 
тома (М) /Ае\у/таррег/ид_абс-№_$\мар 
Группа 
томов (м9) х9 абс 
/ем/заа1 Физический | 
том (ру) /4ем/заа2 


Рис. 12.1. Логические тома ММ можно монтировать как обычные разделы 
в файловой системе Ипих 


Теперь, поняв, как работает ТУМ, можно создавать логические тома ГУМ 
с нуля. Процесс будет описан далее. 


Создание логических томов ІММ 


Логические тома ГУМ используются сверху вниз, но формируются снизу вверх. 
Как показано на рис. 12.1, сначала создается один или несколько физических то- 
мов (ру), затем они применяются для создания групп томов (уе), а группы томов 
образуют логические тома (1%). 

Команды для работы с каждым компонентом ГУМ начинаются с букв ру, ув и \1. 
Например, команда руаіѕр1ау показывает физические тома, \в915р1ау — группы 
томов, а 1уаїіѕр1ау — логические тома. 

Далее рассмотрим этапы создания томов ГУМ с нуля. Для этого можно исполь- 
зовать ЧЗВ-накопитель и разделы, которые описаны ранее в этой главе. 
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1. Возьмите диск с некоторым количеством свободного пространства и создайте на 
нем раздел типа ГУМ (8е). Затем возьмите команду русгеате, чтобы идентифици- 
ровать этот раздел как физический том ГУМ. Процесс с использованием устрой- 
ства /аеу/ ѕӣб6 описан ранее в разделе «Создание диска с несколькими разделами». 


2. Чтобы добавить этот физический том в новую группу томов, примените команду 
увсгеа+е. Как создать группу томов тууве с помощью устройства /еу/ ѕ466, по- 
казывает следующая команда: 


# үубсгеаїе тууё0 /4еу/$ас6 
\Мо1ите =гоир "ту\ё0" ѕиссеѕѕҒи11у сгеафеа 


3. Чтобы просмотреть новую группу томов, введите: 


# уёа15р1ау ту\уё0 
--- УМо1ите вгоир --- 


Үс Мате тууее 

ҮС $17е <4.00 СіВ 

РЕ $17е 4.00 М1В 

Тофа1 РЕ 1023 

А110с РЕ / 517е о/е 

Ргее РЕ / 517е 1023 / <4.00 МіВ 


4. Доступны все 1023 физических экстента (по 4 МиБ каждый). Далее приведен 
пример того, как создать логический том из части пространства в этой группе 
томов, а затем проверить, существует ли устройство для этого логического тома: 
# 1усгеаее -п тиѕіс -Ё 16 тууре 

Іоріса1 мо1ите "ти$1с" сгеа+еа 
# 15 /аеу/таррег/тумғе* 
/ аеу/таррег/тууеё-тиѕіс 


5. Как видно в примере, было создано устройство с именем /аеу/таррег/тууве- 
тиѕіс. Теперь его можно использовать для установки и монтирования файловой 
системы, как и обычные разделы в начале этой главы, например: 

# пКЕ5 -Ё ехё4 /дӢеу/таррег/тумее-тиѕіс 

# ткаіг /тпё/тутиѕіс 

# тоипЁ /аем/таррег/тумре-тиѕіс /тп/тутиѕіс 

# ағ -һ /ттё/тутиѕіс 

Рі1еѕуѕет Ѕіле Џѕеа Ауаі1 Ц5е% Моип+еа оп 
/аеу/таррег/тууе@-тиѕіс 976М 2.6М 987М 1% /тпЕ/тути$1с 


6. Как и в случае с обычными разделами, логические тома можно монтировать 
постоянно, добавив запись в файл /еёс/Ғѕ+ар, например: 


/аеу/таррег/туу=0-ти$1с /тп/тути$1с ехё4 еҒаи1+5 1 2 
При следующей перезагрузке логический том автоматически монтируется в ка- 


талоге /тпё/тутиѕіс. (Обязательно размонтируйте логический том и удалите эту 
строку, если хотите отсоединить ОЗВ-накопитель от компьютера.) 
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Расширение логических томов ІММ 


Если на логическом томе не хватает места, его можно добавить, и для этого не тре- 
буется размонтировать том. Нужно лишь иметь свободное место в группе томов, 
а также увеличить логический том и файловую систему. Основываясь на процессе, 
описанном в предыдущем разделе, вот как можно расширить логический том. 


1. Обратите внимание на то, сколько места в данный момент на логическом томе, 
а затем проверьте, доступно ли оно в группе томов логического тома: 


# ува15р1ау тууё0 


ҮС $17е <4.00 М1В 


РЕ $17е 4.00 МіВ 
Тофа1 РЕ 1023 
А11ос РЕ / $17е 256 / 1.00 СіВ 
Егее РЕ / 517е 767 / <3.00 СіВ 
# ағ -һ /мпе/тути$1с/ 
Е11езуз{ет $17е Џѕеа Ама11 Оѕе% Моип+еа оп 
/ аеу/таррег/тууее-тиѕіс 976М 2.6М 987М 1% /тпЁ/тутиѕіс 


2. Разверните логический том с помощью команды мех+епа: 


# 1Імех+епа -і +16 /дӢеу/таррег/тууее-тиѕіс 
Ѕіле оф 1оріса1 уо1ите туур@/тиѕіс сһапреа 
Ғгот 1.0061В +о 2.00 СіВ (512 ехіепіѕ). 
1021са1 уо1ите туур@/тиѕіс ѕиссеѕѕҒи11у гез1теа 


3. Измените размер файловой системы в соответствии с новым размером логиче- 
ского тома: 


# геѕі2е2#5 -р /4еу/таррег/туу=0-ти$1с 


4. Убедитесь, что файловая система изменена и включает в себя дополнительное 
пространство диска: 
# ағ -һ /мпе/тути$1с/ 


Е11езуз{ет 5$17е Це Ауаі1 Оѕе% Моип+еа оп 
/аеу/таррег/тууед-тиѕіс 2.06 3.0М 1.96 1% /шп®/тути$1с 


Из примера видно, что файловая система теперь больше примерно на 1 Гбайт. 


Монтирование файловых систем 


Теперь, когда мы рассмотрели варианты разделения диска и файловых систем, 
я хочу сделать шаг назад и поговорить о том, как настраиваются файловые системы 
для постоянного подключения к системе Глпих. 

Большинство разделов жесткого диска, созданных при установке пих, мон- 
тируются автоматически при загрузке системы. При установке Ее4ота, ОБипеи, 
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Вей Наё Епѓегргіѕе Глпих и других систем Глпах у вас есть возможность позволить 
инсталлятору автоматически настроить жесткий диск или самостоятельно создать 
разделы и указать точки монтирования для них. 

Обычно при загрузке Глпих все разделы на жестком диске перечисляются в фай- 
ле /еіс/#ѕ&ёар и монтируются. Поэтому в следующих подразделах описано, что 
можно найти в этом файле, а также каким образом можно монтировать другие 
разделы, чтобы они стали частью файловой системы Глпих. 

Команда моип* используется для монтирования не только локальных устройств 
хранения данных, но и других типов файловых систем в системе Глпих. Например, 
ее можно задействовать для монтирования каталогов (папок) по сети с серверов 
МЕЗ или батра, а также файловых систем с нового жесткого диска или О$В- 
накопителя, который не настроен на автоматическое монтирование. Команда тоипё 
может монтировать и файлы изображений файловой системы с помощью петлевых 
Іоор-устройств. 


ПРИМЕЧАНИЕ 


С добавлением функций автоматического монтирования и внесением изменений в способ идентификации съем- 
ных носителей сядром пих 2.6 (использование таких функций, как Џйеу и Нага\маге Абѕїгасііоп [ауег) вам больше 
не нужно монтировать съемные носители вручную. Однако понимание того, как монтировать и размонтировать 
файловые системы вручную на сервере Ипих, может быть очень полезным навыком, если вы хотите монтировать 
удаленные файловые системы или временно монтировать части системы. 


Поддерживаемые файловые системы 


Чтобы просмотреть типы файловых систем, в данный момент загруженных в ядро, 
введите саї+ /ргос/ #і1еѕуѕ+етѕ. В следующем списке приведены типы файловых 
систем, которые в настоящее время поддерживаются в іпих (они могут не исполь- 
зоваться или быть недоступными в вашем дистрибутиве Глпих). 


® Беѓѕ. Файловая система, применяемая операционной системой ВеО$. 


ө Бе:ѕ. Файловая система копирования при записи (сору-оп-\тКе), реализующая 
расширенные функции файловой системы. Отказоустойчива и проста в админи- 
стрировании. Файловая система Ьб в последнее время набирает все большую 
популярность для корпоративных приложений. 


® сіѓѕ. Общая файловая система Интернета (Соттоп Таќегпеё ЕПеѕуѕќет, СТЕЅ) — 
виртуальная файловая система, используемая для получения доступа к сер- 
верам, соответствующим спецификации ЭМТА СТЕ$. СІЕЅ — это попытка 
усовершенствовать и стандартизировать протокол ЗМВ, задействуемый Ѕатђа 
и \т4о\з для передачи данных. 


® ехі4. Преемница популярной файловой системы ех(3. Включает в себя мно- 
жество улучшений по сравнению с ех(3, таких как поддержка томов до 1 ЭиБ 
(эксбибайт) и размеров файлов до 16 ТиБ (тебибайт). (Ранее заменяла ехіЗ 
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в качестве файловой системы по умолчанию в Еейога и КНЕГ. Затем была за- 
менена хіѕ в качестве системы по умолчанию в ВНЕГ..) 


® ехіЗ. Файловые системы ехё наиболее распространены в большинстве систем 
Глпих. Если сравнивать с ехё2, то файловая система ех{3, также называемая 
третьей расширенной файловой системой, включает в себя функции ведения 
журнала, которые улучшают ее способность восстанавливаться после сбоев. 


® ехё2. Тип файловой системы по умолчанию для более ранних систем Глпих. 
Функции такие же, как у ех(3, за исключением функции ведения журнала. 


® ехі. Это первая версия ехіЗ. Используется все реже. 


® 1509660. Произошла из файловой системы Н1эВ Ѕіегга (оригинальный стандарт 
для СО-ВОМ). Расширения стандарта Н1эВ З1егга, называемые Коск Ка4ве, 
позволяют файловым системам 1509660 поддерживать длинные имена файлов 
и информацию в стиле ОМХ (например, имена файлов, сведения о праве соб- 
ственности и ссылки). СО с данными обычно применяют этот тип файловой 
системы. 


® КаЁ5. Файловая система клиента АЕЅ. Используется в распределенных вычисли- 
тельных средах для обмена файлами с клиентами Глпих, \Лш4о\з и Масіпќоѕћ. 


® шиих. Тип файловой системы Мпих, первоначально используемый с версией 
МІМІХ УМХ. Поддерживает имена файлов длиной до 30 символов. 


® т5$40$. Файловая система М$-ОО$. Этот тип можно применять для монтиро- 
вания носителей из старых операционных систем Мсгозой. 


ө у[аЕ. Расширенная файловая система МтсгозоК ЕАТ (УҒАТ). 


® ехѓа. Расширенная файловая система ҒАТ (ехЕАТ), оптимизированная для 
5р-карт, ОЅВ-накопителей и другой флеш-памяти. 


® ит$40$. Файловая система М$-РО$ с расширениями, позволяющими ис- 
пользовать функции, аналогичные функциям ОМІХ, включая длинные имена 
файлов. 


® ргос. Не настоящая файловая система, а скорее интерфейс файловой си- 
стемы к ядру Глпих. Для ее настройки ничего особенного делать не нужно. 
Однако точка монтирования /ргос должна быть файловой системой ргос. 
Многие утилиты полагаются на /ргос и получают из нее доступ к информации 
ядра пих. 


® геіѕегЁѕ. Файловая система КеіѕегЕЅ с ведением журнала. Ве1зегЕ$ когда-то 
была распространенным типом файловой системы по умолчанию для несколь- 
ких дистрибутивов Глпах. Однако сейчас файловые системы ехё и х распро- 
странены шире. 


® суар. Используется для разделов подкачки. Области подкачки применяются 
для временного хранения данных, когда заканчивается оперативная память. 
Данные перемещаются в область подкачки, а затем при необходимости возвра- 
щаются в оперативную память. 
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® заца$ В. Сжатая файловая система, доступная только для чтения. Система 
Зацаз В популярна на «живых» СО, где пространство ограничено и есть доступ 
только для чтения (например, СО или рур). 


© пб. Сетевая файловая система (МебхогК ЕПезузет, МЕЅ). МЕЅ применяется 
для монтирования файловых систем на других компьютерах Глпих или ОМІХ. 


ө һрёѕ. Используется для монтирования файловой системы О$/2 НРЕЅ и только 
для чтения. 


® псрѓѕ. Файловая система для №оуе!! Ме \Уаге. Файловые системы М№еҰаге 
можно монтировать по сети. 


ө піѓѕ. Файловая система Ұіпдомѕ МТ. В зависимости от имеющегося дистри- 
бутива может использоваться как файловая система только для чтения (чтобы 
смонтировать ее и скопировать файлы). 


ә и. Файловая система, популярная в операционных системах Ѕип М1сгозуз(ет$ 
(то есть Зо|а1$ и ип О5). 


ө №. Шестидесятичетырехразрядная файловая система ведения журнала ІВМ, 
относительно легковесная для имеющегося количества функций. 


ө хі. Высокопроизводительная файловая система, первоначально разработан- 
ная компанией 5Шсоп Старћісѕ, которая очень хорошо работает с большими 
файлами. Эта файловая система является системой по умолчанию для ВНЕГ 7. 


® (52. Файловая система с общим диском, которая позволяет нескольким маши- 
нам использовать один и тот же общий диск, не проходя через уровень сетевой 
файловой системы, такой как СІЕЅ, МЕЅ ит. д. 


Чтобы просмотреть список файловых систем, которые поставляются вместе 
с ядром, введите команду 15 /1ір/тойи1еѕ/ кеппе1уегѕіоп/кегпе1/#5/. Реальные 
модули хранятся в подкаталогах этого каталога. Монтирование поддерживаемой 
файловой системы приводит к загрузке модуля файловой системы. 

Введите команду тап #5, чтобы просмотреть описания файловых систем Глпах. 


Подключение раздела подкачки 


Раздел подкачки — это область диска, которая становится доступной для пах, если 
в системе заканчивается оперативная память (ОЗУ). Если оперативная память 
заполнена и вы пытаетесь запустить другое приложение без раздела подкачки, 
действие не будет выполнено. 

С помощью раздела подкачки [іпих может временно помещать данные из 
оперативной памяти в раздел подкачки, а затем при необходимости возвращать 
их обратно. Производительность падает, но это лучше, чем полное невыполнение 
процессов. 

Чтобы создать область подкачки из раздела или файла, используйте команду 
ткѕмар. Временно включить раздел подкачки можно командой ѕмароп. В следующем 
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примере показано, как узнать доступное пространство подкачки, создать файл 
подкачки, включить его, а затем проверить, доступно ли это пространство в си- 
стеме: 


# Ғгее -т 

фофа1 иѕеа Ғгее Ѕѕһағгеа Би+#Ғегѕ сасһеа 
Мет: 1955 663 1291 [2] 42 283 
-/+ БиЕРег$/сасйе: 337 1617 
Ѕмар: 819 [2] 819 


# аа 1+=/аеу/хего оҒ=/маг/&тр/туѕмар 6$=1М соипї=1024 
# ткѕмар /маг/орЕ/туѕмар 
# змароп /маг/оре/туѕмар 


# Ғгее -т 

фофа1 иѕеа Ғгее эНагед Би+#Ғегѕ сасһеа 
Мет: 1955 1720 235 [2] 42 1310 
-/+ БиЕРег$/сасйе: 367 1588 
Ѕмар: 1843 [2] 1843 


Команда #гее показывает объем подкачки до и после создания и включения раз- 
дела подкачки с помощью команды ѕмароп. Пространство подкачки будет доступно 
сразу же, но временно. Чтобы сделать эту область постоянной, нужно добавить ее 
в файл /еёс/#ѕ+аб, например: 


/маг/орё/туѕмар ѕмар ѕмар аеҒаи1+5 оо 


Данная строка указывает, что файл подкачки с именем /маг/орё/туѕмар дол- 
жен быть включен во время загрузки. Поскольку для раздела подкачки нет точки 
монтирования, второе поле просто настроено на подкачку, как и тип раздела. 
Чтобы проверить работу файла подкачки перед перезагрузкой, можно сразу же 
включить его (ѕмароп -а) и проверить, появляется ли дополнительная область 
подкачки: 


# змароп -а 


Отключение раздела подкачки 


Чтобы отключить раздел подкачки, используйте команду змаро++. Причиной этого 
может стать, в частности, то, что раздел подкачки больше не нужен и вы хотите 
освободить занимаемое им место или удалить ОЗВ-накопитель, который поддер- 
живает раздел подкачки. 

Сначала убедитесь, что на устройстве подкачки не используется свободное про- 
странство (с помощью команды #гее), а затем примените змаро+ +, чтобы отключить 
раздел подкачки и задействовать освободившееся место, например: 


# Ғгее -т 

фофа1 иѕеа Ғгее Ѕѕһағеа Би+Ғегѕ сасһеа 
Мет: 1955 1720 235 [2] 42 1310 
-/+ БиЕРег$/сасйе: 367 1588 
Ѕмар: 1843 (2) 1843 


# ѕмароҒҒ# /маг/орё/туѕмар 
# Ғгее -т 
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Мет: 1955 1720 235 е 42 1310 
-/+ БиЕРег$/сасйе: 367 1588 
Ѕмар: 819 ө 819 


Обратите внимание: объем доступного места для подкачки был уменьшен после 
выполнения команды ѕмароғ#+. 


Определение монтируемых файловых систем 
с помощью файла Ёѕїаб 


Разделы жесткого диска на компьютере и удаленные файловые системы, которые 
используются ежедневно, скорее всего, настроены на автоматическое монтирование 
при загрузке Глпих. Файл /еёс/#ѕ+ар содержит определения для каждого раздела, 
а также параметры, описывающие способ монтирования раздела. Пример приме- 
нения файла /еёс/#ѕ+аб: 


$ /еЕс/+#5+аБ 


/аем/таррег/м=_абс-1\_гоо*+ / ех{4 аЯеҒаи1+5 11 
0уІр=786аае46-9389-438а-БЬ+ее-0614934Ғае28 /роої ехё4 ЯеҒаџ1+ѕ 1 2 
/аеу/таррег/уе_абс-1у һоте /һоте ех{4 аЯеҒаи1+5 12 
/аем/таррег/\м=_абс-1\_5мар мар мар ЯеғҒаџ1+5 ед 
# Моцпф епёгіеѕ аддеа 1аїег 

/аем/ 5461 /міп уға го 1 2 
192.168.0.27: /пЕ$$ и /гетофе п#ѕ иѕегѕ, пеёйеу Ө ё 
//192.168.0.28/туѕһаге /ѕһаге сі#ѕ риеѕ+, пеаеу Ө ө 
# ѕресіа1 ііпих Ғі1еѕуѕ+етѕ 

тр $ /аем/ѕһт Етрфз аеғҒаџи1+5 ед 
деур*$ /аеу/рёѕ 4емре$ #149=5 ‚ поде=620 9 ө 
5у5#5 /зу$ зу$5 ЯеҒаџи1+5 ед 
ргос /ргос ргос Яе+Ғаи1+5 ед 


Здесь файл /еєс/#ѕ+ар взят из стандартной установки сервера Кей Наб Ерќегргіѕе 
Тіпих 6 с добавлением нескольких строк. 

В данный момент вы можете игнорировать записи ётр+ѕ, йеурёѕ, ѕуѕ#5 и ргос. 
Это специальные устройства, связанные с общей памятью, терминальными окна- 
ми, информацией об устройстве и параметрами ядра соответственно. 

В первом столбце файла /еєс/#ѕ+аь показано устройство или общий ресурс 
(что монтируется), а во втором — точка монтирования (где монтируется). За ними 
следуют тип файловой системы, любые параметры монтирования (или значения 
по умолчанию) и два числа, указывающие командам, таким как дитр и +5сК, что 
делать с файловой системой. 

Первые три записи представляют разделы диска, назначенные корневому ка- 
талогу файловой системы (/), каталогу /боо+ и каталогу /һоте. Все они являются 
файловыми системами ехі4. Четвертая строка — это устройство подкачки (приме- 
няется для хранения данных при переполнении оперативной памяти). Обратите 
внимание на то, что имена устройств для каталогов /, /һоте и мар начинаются 
с /аеу/таррег. Это связано с тем, что они являются логическими томами ГУМ, 
которым назначается пространство из группы томов ГУМ (подробнее о ТУМ — 
в разделе «Использование разделов УМ» ранее в этой главе). 
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Раздел /Бооё находится в собственном физическом разделе /аеу/ѕаа1. Однако 
вместо /4еу/$4а1 устройство идентифицируется уникальным идентификатором 
(Ор). Зачем же применять 010 вместо /аеу/ѕӣа1 для идентификации устрой- 
ства? Предположим, вы подключили другой диск к компьютеру и загрузили систему. 
В зависимости от того, как ваш компьютер перебирает подключенные устройства 
при загрузке, возможно, новый диск будет идентифицирован как /4е\/заа, что за- 
ставит систему искать содержимое /боої в первом разделе этого диска. 

Чтобы просмотреть все СООТ, назначенные устройствам хранения данных 
в своей системе, введите команду Б1К1а: 


# ыкза 
/аеу/ѕа1: 

0уІр="78Баае46-9389-438а-бҒее-0611934Ғае28" ТҮРЕ="ехі4" 
/аеу/5а2: 

ОуІр= "м1миІм-0іІ2-рмМ№О-#39ј -оНех-9+оо-АОІІ7К" ТУРЕ="Е\УМ2 _тетЬег" 
/аем/таррег/м=_абс-1\_гоо*: 

Ц0ТО="Зе6+49аб-8+ес-45е1-90а9-384312846689" ТҮРЕ="ехі4" 
/аеу/таррег/ур_абс-1у ѕмар: 

0у1р="77662950-2сс2-4049-а860-346695356194" ТУРЕ=" $мар" 
/аем/таррег/м=_абс-1\_Воте: 

Ц0ТО=" 7ЕЕЬс++3-3669-4сЬБ-8714-091е+6179790" ТҮРЕ="ехі4" 
/аем/5461: 

ЅЕС ТҮРЕ="тѕЯ05" ООІр="75Е0-96АА" ТҮРЕ="уҒа" 


Любое из названий устройств может быть заменено обозначением ОТОТО в левой 
колонке в части /ес/#ѕ+ар. 

Следующие три строки я добавил в файл /еєс/#ѕ&аб, чтобы проиллюстрировать 
различные типы записей. Я подключил жесткий диск из старой системы МісгоѕоЁс 
М/т4о\$ и установил его в каталог /міп. Затем добавил параметр го, чтобы каталог 
монтировался только для чтения. 

Последние две строки представляют удаленные файловые системы. В каталоге 
/гетофе каталог /пЕѕѕ&иє монтируется для чтения/записи (ги) с узла 192.168.0.27 
в качестве общего ресурса МЕЅ. В каталоге /зПаге общий ресурс №ірдоҳѕ с именем 
пуѕһаге монтируется с узла 192.168.0.28. В обоих случаях я добавил параметр 
_пефдеу, который указывает Ипих ждать появления сети, прежде чем пытаться 
смонтировать общие ресурсы. Дополнительные сведения о монтировании общих 
ресурсов СІЕЅ и МЕЅ см. в главах 19 и 20 соответственно. 


Отличие от \п4о\$ 


В разделе «Определение монтируемых файловых систем с помощью файла баб» 
показано монтирование раздела жесткого диска из старой файловой системы 
УЕАТ, используемой в Міпіоуѕ. Большинство систем М№іпаоуѕ сегодня работают 
с файловой системой МТЕЗ. Эта файловая система поддерживается не во всех 
системах Глпих. Для Еейога МТЕЅ доступна в пакете пе#5 -36. 
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Чтобы разобраться в содержимом файла /еёс/#ѕ+ар, разделим его на поля. 


Поле 1 — имя устройства, представляющего файловую систему. Это поле мо- 
жет иметь параметр ГАВЕЁ или ЧУТЬ, с помощью которых можно указать метку 
тома или универсальный уникальный идентификатор (ООТО) вместо имени 
устройства. Преимущество этого подхода заключается в следующем: поскольку 
раздел идентифицируется по имени тома, его можно переместить на другое имя 
устройства, не изменяя при этом файл #ѕ+ар. (См. описание команды тк в раз- 
деле «Создание файловой системы с помощью тКкЁ» далее в этой главе, чтобы 
узнать, как создавать файловые системы и ставить метки.) 


Поле 2 — точка монтирования в файловой системе. Файловая система рас- 
пространяет все данные из точки монтирования вниз по структуре дерева 
каталогов, если только другая файловая система не монтируется в какой-то 
точке под ней. 


Поле 3 — тип файловой системы. Допустимые типы файловых систем опи- 
саны в разделе «Поддерживаемые файловые системы» ранее в этой главе 
(вы можете применять только те типы файловых систем, для которых в ядре 
есть драйверы). 

Поле 4 — используйте команду дефаи1*5 или список параметров, разделенных 
запятыми (без пробелов), которые хотите задействовать при монтировании 
записи. См. страницу руководства для команды моип* (под параметром -о) для 
получения информации о других поддерживаемых параметрах. 


СОВЕТ 


Как правило, только суперпользователь может монтировать файловую систему с помощью команды тоипї. Что- 
бы разрешить любому пользователю монтировать файловую систему (например, на СЮ), можно добавить пара- 
метр иѕег в поле 4 файла /еїс/Ёѕќар. 


Поле 5 — число в нем указывает, нужно ли сбрасывать файловую систему 
(то есть создавать резервные копии ее данных). Значение 1 означает, что фай- 
ловая система должна быть сброшена, а Ө — что этого делать не нужно. (Сейчас 
это поле не особенно полезно, потому что большинство администраторов Глпих 
применяют более сложные параметры резервного копирования, чем команда 
дитр. Чаще всего используется значение ё.) 


Поле 6 — число в нем говорит о том, следует ли проверять указанную файловую 
систему с помощью #ѕск, когда придет время для ее проверки: 1 означает, что 
она должна быть проверена в первую очередь, 2 — что должна быть проверена 
после того, как все обозначенные 1 уже были проверены, а Ө — что ее проверять 
не нужно. 


Если вы хотите больше узнать о параметрах монтирования, а также о других 


функциях файла /еїс/#ѕ+аб, обратитесь к справочным страницам 5 п+$ и тап 
8 тоип. 
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Монтирование файловых систем 
с помощью команды тоипе 


Системы Глпих автоматически запускают команду моип* -а (монтирование всех 
файловых систем из файла /еёс/#ѕ+ар) при каждой загрузке. По этой причине 
команда тоип+ используется лишь в некоторых случаях. В частности, обычный 
пользователь или администратор применяют тоип двумя способами: 


® чтобы отобразить диски, разделы и удаленные файловые системы, смонтиро- 
ванные в данный момент; 


® чтобы временно смонтировать файловую систему. 


Любой пользователь может ввести тоипї без каких-либо параметров, чтобы 
увидеть, какие файловые системы в данный момент монтируются в локальной 
системе Глпих. Далее приведен пример команды моип*. Он показывает один раз- 
дел жесткого диска (/деу/ѕа1), содержащий корневую файловую систему (/) 
и типы файловых систем ргос и 4еур($, установленные в /ргос и /ӣеу соответ- 
ственно: 


$ тоипЕ 

/аеу/ѕӣаз оп / фуре ехї4 (ги) 

/аеу/ѕа2 оп /Бооф +уре ехі4 (гм) 

/аеу/ѕӢа1 оп /тпЁ/міп уре уҒа (гм) 

/аеу/ргос оп /ргос уре ргос (гм) 

/аеу/ѕуѕ оп /5уѕ уре ѕуѕ#5 (гм) 

/аеу/аеурѕ оп /4ему/ре$ +уре еур+ѕ (гм, рій=5 ,тойе=620) 
/аеу/ѕһт оп /аеу/ѕһт фуре тр#5 (гм) 

попе оп /ргос/5у5/Е5/біпЕтЕ тіѕс Журе біп#тЕ тіѕс (гм) 
/аеу/сагот оп /тедіа/МуОмпрур +уре 1509660 (го, поѕиіа, подем) 


Наиболее распространенными устройствами для монтирования вручную яв- 
ляются съемные носители, такие как Ур или СО. Однако в зависимости от типа 
используемого рабочего стола СО и Рур могут монтироваться автоматически 
при присоединении к компьютеру. (В некоторых случаях при установке носителя 
также запускаются приложения. Например, могут начать работать музыкальный 
проигрыватель или фоторедактор, если на О$В-носителе есть музыка или цифро- 
вые изображения.) 

Бывают случаи, когда монтировать файловую систему вручную полезно. Напри- 
мер, вам нужно просмотреть содержимое старого жесткого диска, поэтому вы его 
устанавливаете в качестве второго диска на свой компьютер. Если разделы этого 
диска не монтируются автоматически, это можно сделать вручную. Так, чтобы 
смонтировать раздел диска $961 с устаревшей файловой системой ех®З и доступный 
только для чтения, введите следующее: 


# ткаіг /тпё/ёетр 
# тоипЕ -Е ехЗ -о го /4еу/$а61 /тпЕ/&тр 


Команда тоип{ также позволяет повторно монтировать раздел, чтобы изменить 
параметры его монтирования. Предположим, что вы хотите перемонтировать /еу/ 
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$961 для чтения/записи, но не хотите его размонтировать (например, он в данный 
момент используется). Примените параметр гетоип*, как показано далее: 


# тоипЕ - ехЁЗ -о гетоип, гм /Яеу/561 


Монтирование образа диска с помощью ІоорБаск 


Команда тоип* способна монтировать образы дисков. Это позволяет скачать файл 
образа $0-карты или РУО 180 из Интернета и посмотреть, что он содержит, не за- 
писывая его на РУР или другой носитель. С помощью образа на жестком диске 
создайте точку монтирования и используйте параметр -о 1оор для ее локального 
монтирования, например: 


# ткаіг /тп/туамаітаре 
# тоипе -о 1оор мһаеуег-1686-415с1.іѕо /тп/туймӢітаве 


В этом примере создается каталог /тпё/пуйуаітаре, а затем файл образа диска 
(мһа+еуег-1686-115с1.іѕо), находящийся в текущем каталоге, монтируется на нем. 
Теперь можно применить са в этом каталоге, просмотреть его содержимое и ско- 
пировать или использовать его. Эта функция полезна для загруженных образов 
РУ, с которых нужно установить программное обеспечение, не записывая образ 
на РУО. Можно также совместно использовать эту точку монтирования через 
МЕБ, чтобы установить программное обеспечение с другого компьютера. Чтобы 
размонтировать образ, введите команду итоип* /тп* /туд\у1таве. 

Другие параметры команды тоип* доступны только для определенных типов 
файловых систем. Обратитесь к руководству для команды тоипё, чтобы узнать об 
этих и других полезных параметрах. 


Команда итоипё 


Когда закончите использовать временную файловую систему или захотите вре- 
менно размонтировать постоянную, примените команду итоип*. Она отсоединяет 
файловую систему от точки монтирования в файловой системе Глпих. Чтобы ис- 
пользовать команду итоип*, укажите для нее либо имя каталога, либо имя устрой- 
ства, как показано в этом примере: 


$ итоипЕ /тпЕ/еѕЕ 


Команда размонтирует устройство из точки монтирования /тпё/+еѕі. Его мож- 
но также размонтировать с помощью такого варианта: 


# чточпЕ /аеу/ѕа61 


В целом, лучше использовать имя каталога (/тпё/ёеѕё), поскольку команда 
итоип не будет выполняться, если устройство смонтировано в нескольких местах 
сразу. (Все имена устройств начинаются с /аеу.) 

Если появляется сообщение, что устройство занято (аеуісе 15 Бизу), значит, 
запрос на команду итоип* не удался, потому что либо приложение имеет файл, 
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открытый на устройстве, либо на нем открыта оболочка с каталогом в качестве 
текущего каталога. Остановите процессы или перейдите в каталог за пределами 
устройства, чтобы выполнить запрос итоипё. 

Еще один вариант размонтирования занятого устройства — это параметр -1. 
С помощью отоипё -1 («ленивое» размонтирование) оно происходит, как только 
устройство освобождается. Чтобы размонтировать удаленную файловую систему 
МЕБ, которая теперь недоступна (например, сервер вышел из строя), можно ис- 
пользовать параметр итоип* -+ и сделать это принудительно. 


СОВЕТ 


Чтобы определить, чем занимается устройство, которое нужно размонтировать, существует полезный инстру- 
мент — команда [501 Введите ее с именем нужного раздела (например, [501 /тпі/ќеѕі). Выходные данные по- 
кажут, какие команды удерживают файлы открытыми в этом разделе. Таким же образом можно использовать 
команду їиѕег-у /тпї/ќеї. 


Создание файловой системы с помощью тКЕ 


Вы можете создать файловую систему любого поддерживаемого типа на вы- 
бранном диске или в разделе с помощью команды шК+5. Этот вариант наиболее 
полезен для создания файловых систем в разделах жесткого диска, но его можно 
использовать и чтобы создавать файловые системы на ОЗВ-накопителях или 
перезаписываемых ОУ. 

Перед созданием новой файловой системы убедитесь в следующем. 


® Вы разбили диск на разделы так, как нужно (с помощью команды +#915К). 


® Вы выбрали правильное имя устройства (чтобы не перезаписать свой жесткий 
диск по ошибке). Например, первый раздел на втором 5С$Т или ОЗВ флеш- 
накопителе в вашей системе — это /деу/ 5161, а третий диск — /де\/з9с1. 


® Вы размонтировали раздел, если ранее он был смонтирован. 
Далее приведены два примера использования команды пК+$ для создания фай- 
ловой системы в двух разделах ОЅВ-накопителя, расположенных как первый 


и второй разделы на третьем 5С51-диске (/4е\/зас1 и /4е\м/зас2). Первый создает 
файловую систему хБ, а второй — ехі4: 


# мКЕ$ -Ё х#$ /4е\у/$4с1 


пефа-Ча+а=/Че\/зЧа3 1$17е=256 арсоипі=4, арѕіғ2е=256825 61К$ 
= ѕесі57=512 аёг=2, ргојіаз26і+=1 
= сгс=9 
ата Е рѕіге=4096 Ь10сКкѕ=1027300, ітахрсі=25 
= ѕипі=0 ѕ5міаєһ=е 61К$ 
патіпрв =мегѕіоп 2 рѕі2е=4096 аѕсіі-сі=0 Ғёуре=0 
105 =іпёегпа1 108 Ь$17е=4096 р10сКѕ=2560, мегѕіоп=2 
= ѕес572=512 ѕипі=0 Ь1Кѕ, 1аху-соип*=1 


геа1{1те =попе ехїѕ52=4096 р1оскѕ=0, гъехёепёѕ=0@ 
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# мКЕ$ -Ё ехф4 /4е\у/$4с2 
тке2#5 1.44.6 (5-Маг-2019) 
Сгеаёіпв +11езузфет м1ЕН 524288 дк Б1оск$ апа 131072 іпойеѕ 
Еі1еѕуѕёет ЦИТО: 6379482е-+а25-4160-8++а-326с784419еее 
5ирег61оск Баскирѕ зфоге4 оп Б1осК$: 
32768, 98304, 163840, 229376, 294912 
А11оса{1пё ргоир фаб1ез: аопе 
ИР11п5 іпоае +а61е$: опе 
Сгеаіпе јоигпа1 (16384 БЬ1оскѕ): опе 
Мгібіпе ѕирегБ1оскѕ апа #і1еѕуѕёет ассоипёіпе іпҒогтаћіоп: опе 


Теперь можете монтировать любую из этих файловых систем (например, ткаїг 
/тпё/туиѕЫ, тоипё /дем/з4с1 /тпё/туиѕЬ), сделать /тпё/туиѕь текущим каталогом 
(са /тп/туиѕь) и создавать в нем файлы. 


Управление хранилищем с помощью Соскріё 


Большинство описанных в этой главе функций для работы с разделами диска 
и файловыми системами можно выполнить с помощью веб-интерфейса Соскри. 
Запустите СосКкри, откройте веб-интерфейс (имя хоста: 9090) и выберите вкладку 
Ѕіогаде (Хранилище). На рис. 12.2 показана вкладка Эюгаде (Хранилище) в Соскріё 
в системе ЕеЧота. 


=> с%® Ф Ё миро: Лосао$9090/5погаде о м о & 
РЕООКА МОВКЗТАТЮМ ЕРІТІОМ№ Ө 
т 1осаћоѕ!Лосвідотаім а 7а 
мал | меу 
Ноя » 9 9 ВАЮ Оемісез 
® е = 
Б Зумет е е № злогаде еї ор аз ВАЮ 
1095 2 8 
= о 1 о = 2.4 
1тәде Вийвег Ѕіогаде 0455 0456 0457 0458 0459 0455 0456 0457 0458 0459 Моште Стоирѕ 
Мећогкіпа Тебога Јосаћоз-уе 
Ейеѕузетѕ юбсов 
Ооскег Сопќаігеге 
Мате Мои: Роме 5ше 
Родтап Сопќаіпегѕ 
/деч/Чедога_юе.. / Г] 676 / 979 618 15С51 Тагде!5 ? 
Міксќџаі Масћпеѕ а 
/дечузва Гоооуећ 1 79/200м8 М№о 15С51 Чагое{$ ѕеї ир 
Ассоштіѕ 
/дечузда2 И: ш 63/976 мВ 
Ѕегуісеѕ Огімеѕ 


ЯНЕ -8-0-0-Ва.. /ғипупесіау/сљеіву оь ООО 6.61/ 6.61618 
беѕѕіоп Кесогаіпд © ТОЅНІВА МОСЛАВО. 
298 018 наа Сик 


МЕ$ Моштіз ков м 679 кал 


389 Оігесќогу Ѕегмег 


А М№ МР5 тошт зе ир [© Зытиуре ОМОА 058. 
АррисаНопз —  орбез от 


тов — мови 


Рис. 12.2. На вкладке 5югаде (Хранилище) находятся устройства хранения данных, файловые 
системы и действия 


Вкладка Ѕіогаде (Хранилище) дает полный обзор хранилища вашей системы. 
Она отображает активность чтения и записи устройствами, обновляя данные 
каждую минуту, а также показывает локальные файловые системы, хранилища 
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(включая КАТЮ -устройства и группы томов ІУМ), удаленно подключенные общие 
ресурсы МЕ$ и цели 1$ СЗТ. Каждый жесткий диск, ОУР и другое физическое запо- 
минающее устройство отображаются на вкладке Ѕіогаде (Хранилище). 

Выбрав смонтированную файловую систему, можно увидеть и изменить раз- 
биение на разделы в этой файловой системе. Например, выбрав автоматически 
смонтированную систему в /гип/теаіа, вы можете увидеть все разделы для устрой- 
ства, на котором она находится (/аеу/ ѕӣа1 и /Че\у/зда2). На рис. 12.3 показано, что 
в этих двух разделах имеются файловая система ехё4 и Би" — файловая система 
копирования при записи. 


Ө 5хогаде - Іосаіһоѕ оса: х + 


«э сё ФВ һирѕЛосаімсс909 


РЕРООВА МОЕВКЅТАТІОМ ЕРІТІОМ 


1осаћов:осаібоғтаіп Ѕіогаде > Сепегаі (Сепегай -0:0) 
Но 
2] Зумет Ойу 
Оаеоагі 
9 
= Рита Мизоп 5.00 


1тоде Вийдег Ѕ‹огәде 
Ѕега Мотрег Сепегаі_-0:0 


Места 
Оюоскег Сопігіпегѕ Сэраспу 7.62 СВ, 818 СВ, 8179941376 Буе 
Робтап Сопізіпегз Оемсе Ре деу 


Миа! Масћіпез 


Ассоџтіѕ 
Сопќепё Сгеме Работ ТаЫе 

Зегисез 

> 66268509660 Е\ Зумет /деч/звы 
Зезяюп Весогбіпо 

> ЭЛлМіВм Рә бумют [чемуевь? 
389 Оіесіогу Ѕегмег 

760 СВ Ғгее Ѕрәсе Сгеаѓќе Рагійіоп 

Аррісайопз 


Рис. 12.3. Просмотр и изменение разделов диска для выбранного устройства 


В окне информации об устройстве можно переформатировать все устройство 
хранения (кнопка Сгеаќе Рагіїйоп ТаЫе (Создать таблицу разделов)) или, если на нем 
имеется свободное место, добавить новый раздел (кнопка Сгеаѓе Рагіїйоп (Создать 
раздел)). На рис. 12.4 показано окно Сгеае Рай оп ТаЫе (Создать таблицу разделов). 

Чтобы отформатировать диск или О$В-накопитель, измените параметр Егаѕе 
(Удаление) и разрешите перезапись всех данных на диске, а затем выберите тип 
разбиения. Нажмите кнопку Рогтаї (Форматировать), чтобы размонтировать все 
смонтированные разделы с диска и создать новую таблицу разделов. После этого 
можно добавить разделы на запоминающее устройство, выбрав размер, тип фай- 
ловой системы и шифрование данных (по желанию). Вы даже можете выбрать, где 
в файловой системе операционной системы монтировать новый раздел. С помощью 
нескольких щелчков кнопкой мыши можно быстрее и интуитивно понятнее создать 
макеты дисков, чем используя командную строку. 
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Ө З!огаде - Іосаіһоѕ:Дос 


сё 


1осаіћоѕ:Іосаідотаіп 


Ғогтаї О15К /деу/ѕаь 


Зумет 
Оаћьома 
е 1095 Еге Ооп" омегигіїе ехізііпо дала т; 
1тәде Вийдег Зкогаде Рагібоіпд СотраЧЫе мИН тодеги ѕуѕќет апа Һага аїѕкѕ > 2ТВ (СРТ) 


МемогКта 


Тһіѕ демісе Ваз еѕуѕќепѕ Ва! аге ситеп у іп изе, Ргосеедіпо мї! оптоцпі ай 
Мезужетз оп И. 


Ооскег Сопќаіпегѕ 


Родтап Сопќаіпегѕ 


/гогутедіа/сћгіз/АНЕГ-8-0-0-ВаѕеО5-х86_64 /дем/ѕ@Ы1 


Миа! Масћіпеѕ 


Ассоиги$ 


Рога пд а 915 мі егазе а! даќа оп К. 


Ѕегуісеѕ 


Сапсе! 


Ѕеѕѕіоп Кесогаїпд 


Рис. 12.4. Создание новой таблицы разделов 


Резюме 


Управление файловыми системами — это важная часть администрирования систе- 
мы Шпих. С помощью таких команд, как ҒӣїѕКк, можно просматривать и изменять 
разделы диска. Применив команду тк#ѕ, можно добавить в разделы файловые си- 
стемы. После создания файловые системы можно монтировать и размонтировать 
с помощью команд тоипї и иптоци{ соответственно. 

Менеджер логических томов (ТУМ) позволяет использовать более мощный 
и гибкий способ управления дисковыми разделами. С его помощью можно созда- 
вать пулы хранения, называемые группами томов, которые позволяют увеличивать 
и уменьшать логические тома, а также увеличивать размер групп томов добавле- 
нием физических томов. 

Существует более интуитивно понятный способ работы с устройствами хране- 
ния — веб-интерфейс СосКри, который позволяет просматривать и настраивать 
хранилища в системе Глпих. С помощью веб-интерфейса вы можете увидеть как 
локальное, так и сетевое хранилище, а также переформатировать диски и изменить 
разделы на них. 

В главе 13 представлены основные принципы, знать которые необходимо для 
того, чтобы стать системным администратором и расширить эти навыки до умения 
управлять сетевыми серверами. В этой главе содержатся сведения об установке 
и защите серверов, а также об управлении ими. 
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Упражнения 


Используйте эти упражнения, чтобы проверить свои знания о создании разделов 
диска, управлении логическими томами и работе с файловыми системами. Вам по- 
надобится пустой ОЅВ-накопитель объемом не менее 1 Гбайт. 


Задачи подходят для систем Еейога или Ке4 Нас Епќегргіѕе Ііпих (некоторые 


сработают и в других системах Ііпих). Если затрудняетесь с решением заданий, 
воспользуйтесь ответами к упражнениям, приведенными в приложении Б (хотя 
Тіпих позволяет решать задачи разными способами). 


1. 


10. 


Просмотрите системный журнал в окне Тегтіпа! (Терминал) с помощью подхо- 
дящей команды от имени суперпользователя и подключите ОЗВ-накопитель. 
Определите имя устройства. 


Выполните команду, чтобы вывести список таблиц разделов для флеш- 
накопителя ОЗВ. 


Удалите все разделы на О$В-накопителе, сохраните изменения и убедитесь, что 
они были внесены как в таблицу разделов диска, так и в ядро Глпих. 


Добавьте три раздела на ОЅВ-накопитель: 100 Мбайт для раздела пих, 
200 Мбайт для раздела подкачки и 500 Мбайт для ІУМ-раздела. Сохраните 
изменения. 


Добавьте файловую систему ех(4 в раздел Глпих. 

Создайте точку монтирования с именем /тпё/тураг+ и смонтируйте в ней раздел 
Гапих. 

Подключите раздел подкачки и включите его, чтобы сразу же добавить допол- 
нительное пространство. 


Создайте группу томов абс из раздела ІУМ, создайте логический том объемом 
200 Мбайт из группы дата, добавьте раздел УҒАТ, а затем временно смонтируй- 
те логический том в новом каталоге с именем /тпё/&еѕї. Проверьте, правиль- 
но ли он смонтирован. 


Расширьте логический том с 200 до 300 Мбайт. 


Правильно и безопасно удалите О$В-накопитель из компьютера: размонтируй- 
те раздел пих, выключите раздел подкачки, размонтируйте логический том 
и удалите группу томов с ОЅВ-накопителя. 


Часть ІМ 


Администрирование 
серверов в Ипих 


В этой части 


ш Глава 13. Администрирование серверов. 
ш Глава 14. Администрирование сети. 

ш Глава 15. Запуск и остановка служб. 

= Глава 16. Настройка сервера печати. 

= Глава 17. Настройка веб-сервера. 

= Глава 18. Настройка ЕТР-сервера. 

= Глава 19. Настройка батБа-сервера. 

= Глава 20. Настройка МЕб-сервера. 

= Глава 21. Диагностика Шпих. 


Администрирование 
серверов 


В этой главе 


ш Администрирование серверов. 

и Соединение серверов по сети. 

ш Ведение журнала удаленно и локально. 
и Отслеживание серверных систем. 

и Управление серверами на предприятии. 


Некоторые функции системного администрирования необходимы даже в настоль- 
ной системе (установка программного обеспечения, настройка принтеров и т. д.), 
однако при настройке системы Глпих в качестве сервера появляется много новых 
задач. Особенно если настраиваемый сервер находится в открытом доступе в Ин- 
тернете, где он может быть перегружен запросами от «хороших» пользователей, 
в то время как нужно постоянно быть начеку в ожидании атак «плохих». 

Для систем пих доступны десятки различных типов серверов. Большинство 
серверов обслуживают данные удаленных клиентов, но есть и такие, которые об- 
служивают локальную систему (например, те, что собирают сообщения журнала 
или запускают задачи обслуживания в установленное время с помощью функции 
сгоп). Многие серверы представлены процессами, которые непрерывно работают 
в фоновом режиме и отвечают на поступающие к ним запросы. Такие процессы 
называются демонами. 

Серверы служат для выполнения определенных задач. Данные, которые они 
обслуживают, могут включать в себя веб-страницы, файлы, информацию о базе 
данных, электронную почту и множество других типов информации. Перечислю 
дополнительные навыки, которые должен иметь администратор сервера. 


® Удаленный доступ. Чтобы задействовать настольную систему, пользователю 
необходимо находиться прямо перед ней. Серверные системы, напротив, как 
правило, размещаются под замком в специальных хранилищах с контролиру- 
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емыми температурой и влажностью. Чаще всего после установки физических 
компьютеров их администрирование осуществляется с помощью средств уда- 
ленного доступа. В этом случае графический интерфейс недоступен, поэтому 
для выполнения таких действий, как удаленный вход в систему, удаленное 
копирование и удаленное выполнение, приходится полагаться на средства 
командной строки или браузерные интерфейсы. Наиболее распространенные 
из этих инструментов построены на сетевом протоколе Зесите ЗВейЙ ($$Н). 


® Усиленная защита. Сервер должен иметь возможность принимать запросы от 
удаленных пользователей и систем. В отличие от настольных систем, которые 
могут просто закрыть все сетевые порты, разрешающие входящие запросы на 
доступ, сервер должен быть уязвимым, чтобы доступ к некоторым портам был 
свободен. Вот почему администратору сервера важно уметь открывать порты 
для необходимых служб и блокировать доступ другим. Для защиты служб при- 
меняются такие инструменты, как 1раб1е$ и Ғігема11а (инструменты бранд- 
мауэра), а также ЗесигКу Епһарсеа Глпиах (ограничивает ресурсы, к которым 
служба может получить доступ из локальной системы). 


ө Непрерывное наблюдение. Обычно настольный компьютер или ноутбук вы- 
ключен, если не используется, а вот серверы чаще всего остаются включенными 
24 часа 7 дней в неделю 365 дней в году. Поскольку администратор не может на- 
ходиться рядом с каждым сервером и постоянно контролировать их, он должен 
настроить инструменты для наблюдения за ними, сбора сообщений журнала 
и даже пересылки подозрительных сообщений на нужный адрес электронной 
почты. Вы можете включить отчеты активности системы для круглосуточного 
сбора данных о применении процессора, памяти, о сетевой активности и до- 
ступе к диску. 


В этой главе я опишу основные инструменты и методы, которые необходимо 
знать и уметь использовать для администрирования удаленных серверов Гпих. 
Вы научитесь применять инструменты $8Н для безопасного доступа к серверу, 
передачи данных туда и обратно и даже запуска удаленных рабочих столов или гра- 
фических приложений в вашей локальной системе. Вы также научитесь удаленно 
вести журнал и получать отчеты о работе системы, непрерывно наблюдая за ней. 


Как работает администрирование сервера 


Независимо от того, устанавливаете ли вы файловый сервер, веб-сервер или любой 
другой сервер, доступный в системах Глпах, большинство действий для запуска 
сервера одинаковы. После запуска изменения в действиях появляются в областях 
конфигурации и настройки. 

В последующих главах я опишу конкретные серверы и их различия. В каждой 
из глав, связанных с сервером, применяются те же основные шаги для запуска 
сервера и того, как сделать его доступным для других пользователей. 
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Шаг 1. Установка сервера 


Большинство серверных программ не предустановлены в системе пих, однако 
любая система Глпих дает возможность установить пакеты программного обеспе- 
чения, необходимые для всех основных типов доступных серверов. 

Бывает, что несколько пакетов программного обеспечения, связанных с опреде- 
ленным типом сервера, собирают в группы пакетов (еще их называют коллекциями 
пакетов). Если же нужное программное обеспечение не собрано в группу пакетов, 
нужно просто установить подходящие пакеты по отдельности. Типы серверных 
пакетов в Еедога и пакеты, доступные в каждой категории, таковы. 


® Сервер ведения логов. Служба г5у$105 позволяет локальной системе собирать 
сообщения журнала из различных компонентов системы. Он может выступать 
также в качестве удаленного сервера ведения журнала, собирая сообщения, от- 
правленные с других серверов ведения логов. (Служба гѕуѕ1ов будет описана 
далее в этой главе.) В последних версиях систем Оби, Еедога и ВНЕГ. сооб- 
щения журнала собирают в журнале зуз+ета, который может быть использован 
службой гѕуѕ1ов или отображен локально командой јоигпа1с+. 


® Сервер печати. Общая служба печати ОМІХ (пакет сирѕ) чаще всего при- 
меняется для предоставления функций сервера печати в системах Гіпих. При 
установке пакета СОРЅ доступно графическое администрирование (ѕуѕ+ет- 
соп#ів-ргіпёег), драйверы принтеров (Ғоотаіс, һріјѕ и др.) также доступны 
при установке СОР5. (См. главу 16 «Настройка сервера печати».) 

ө Веб-сервер. Веб-сервер Арасһе (пакет һ&&ра или арасһе2) — это программное 
обеспечение, которое чаще всего используется для обслуживания веб-страниц 
(НТТР-данных). Связанные пакеты включают модули, помогающие обслужи- 
вать определенные типы данных (Реті, Рућоп, РНР- и 551 -соединения). Кроме 
того, существуют пакеты соответствующей документации (һіёра-тапиа1), ин- 
струменты для наблюдения за веб-данными (меба1іғег) и для предоставления 
прокси-служб (ѕаџіа). (См. главу 17 «Настройка веб-сервера».) 


® Сервер ЕТР (протокол передачи файлов). Демон Уегу Зесиге ЕТР (пакет 
у5ра) — это ЕТР-сервер по умолчанию, используемый в системах Еейога 
и КНЕГ. Кроме того, ЕТР-сервер включает в себя пакеты рго#+ра и ригеЕра. 
(См. главу 18 «Настройка ЕТР-сервера».) 


ә Файловый сервер для \т4о\. Сервер ЗатБа (пакет ѕатба) позволяет системе 
Тіпих выступать в качестве сервера файлов и печати для \/т4о\. (См. главу 19 
«Настройка Ѕатђа-сервера».) 


® Файловый сервер МЕ$. Сетевая файловая система (Меб\могк Ее Зузбет, 
МЕЅ) — это стандартная функция Глпих и ОМІХ, которая предоставляет общие 
каталоги другим системам по сети. Пакет п#ѕ-иі15 включает в себя службы 
МЕЗ и связанные с ними команды. (См. главу 20 «Настройка МЕЅ-сервера».) 

Ф® Почтовый сервер. Пакеты позволяют настраивать почтовый сервер, иногда 


называемый сервером агента доставки почты (Май Тгапзрогё Авепе, МТА). 
Существует несколько вариантов почтовых серверов — ѕепӣтаі1, роѕ+Ғіх 
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(по умолчанию в системах Еейога и ВНЕГ.) и ехіт. Связанные пакеты, напри- 
мер доуесо*, позволяют почтовому серверу доставлять электронную почту 
клиентам. 


® Сервер каталогов. Пакеты этой категории предоставляют удаленные и локаль- 
ные службы аутентификации. К ним относятся КегБегоз (Кг65-зегуег), РАР 
(ореп1аар-ѕегуег) и №МІ5 (урѕегу). 


® Сервер 0№. Доменная служба ВегкеІеу Іһіегпеё Мате Потат (пакет Біпа) 
предоставляет программное обеспечение, необходимое для настройки сервера 
для преобразования имен узлов в ІР-адреса. 


® Сервер МТР. Пакеты піра и сһгопуа позволяют включить протокол сетевого 
времени для синхронизации системных часов с часами публичных или частных 
серверов МТР. 


® Сервер $ОГ.. Служба Роѕісге5ОТ. (пакеты роѕвгеѕд1 и роѕёвгеѕд1-ѕегуег) — 
это объектно-реляционная система управления базами данных. Связанные 
пакеты предоставляют документацию Роѕівге5О1. и связанные с ней инстру- 
менты. Служба МуЅОТ (пакеты туѕд1 и туѕ91-ѕегуек) — еще один популярный 
сервер баз данных 801. с открытым исходным кодом. Разработанная сообще- 
ством Глпих на основе МуЅОТ служба МагіарвВ вытеснила Му ОТ. во многих 
дистрибутивах Глпих. 


Шаг 2. Настройка сервера 


Большинство пакетов серверного программного обеспечения устанавливаются 
с настройками по умолчанию, которые больше ориентированы на безопасность, 
чем на немедленное и полное применение. Рассмотрим список того, о чем следует 
подумать перед настройкой сервера. 


Использование файлов конфигурации 


Традиционно серверы Гпих настраиваются путем редактирования простых тек- 
стовых файлов в каталоге /еёс (или в подкаталогах). Обычно есть первичный файл 
конфигурации, иногда появляется связанный каталог конфигурации, в котором 
файлы, заканчивающиеся на . соп, добавляют в основной файл конфигурации. 

Пакет һеєра (веб-сервер Арасһе) — это пакет сервера, который имеет основ- 
ной файл конфигурации и каталог, в который можно поместить другие файлы 
конфигурации и добавить их в состав службы. Основным файлом конфигурации 
в системах Ее4ога и ВНЕГ. является файл /еёс/һеєра/соп#/һе+ра. соп+. Каталог 
конфигурации — это /еёс/һіёрӣ/ соп. 4/. 

После установки пакета һёёра и связанных с ним пакетов вы увидите его файлы 
в каталоге /ефс/ИЕЕра/ соп+.а/, они помещаются туда с помощью различных паке- 
тов: той 551, тоа регі и др. Таким образом, дополнительные пакеты могут иметь 
информацию о своей конфигурации, включенную в сервер һ++ра, и при этом пакет 
не будет запускать сценарии редактирования основного файла НЕЕра. соп. 
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Единственным недостатком обычных текстовых файлов конфигурации явля- 
ется то, что нет возможности немедленно проверить все ошибки, как происходит 
при использовании графических инструментов администрирования. В таком 
случае необходимо либо запустить тестовую команду (если служба ее имеет), либо 
попытаться запустить саму службу, чтобы увидеть, нет ли каких-то проблем с от- 
редактированным файлом конфигурации. 


СОВЕТ 


Вместо того чтобы редактировать файлы конфигурации с помощью редактора М, возьмите редактор Мт. Коман- 
да іт помогает находить ошибки в файле конфигурации прямо во время редактирования. 


Команда уіт распознает форматы многих файлов конфигурации (раѕѕумі, Һра.сопў, Ёѕќар и др.). Если вы сделаете 
ошибку, введете недопустимый термин или параметр в один из этих файлов или каким-либо образом измените 
формат, изменится цвет текста. Например, если в файле /еѓс/Ќѕар изменить параметр де{аи $ на Че{аи!, цвет 
слова изменится. 


Проверка конфигураций по умолчанию 


Большинство программных пакетов для серверов в системах Еедога и ВНЕГ. 
устанавливаются с минимальной конфигурацией и больше ориентированы на без- 
опасность, чем на немедленное применение. При установке пакета программного 
обеспечения некоторые дистрибутивы Глпих спрашивают, в какой каталог нужно 
установить пакет или какой учетной записью будет управляться сервер. 

Поскольку пакеты КРМ предназначены для автоматической установки, у поль- 
зователя нет особого выбора его настроек. Файлы устанавливаются в определенных 
местах, управлять ими могут определенные учетные записи, и при запуске службы 
доступ к ней вполне может быть ограничен. Пользователь может настроить про- 
граммное обеспечение и сделать сервер полностью функциональным уже после 
установки пакета. 

Почтовые серверы (пакеты зепдма11 роѕ++іх) и ОМ5-серверы (пакет 61п9) 
являются примерами серверов, которые устанавливаются с ограниченным функ- 
ционалом. Оба они устанавливаются в конфигурации по умолчанию и запускаются 
при перезагрузке системы. Однако оба видят запросы только на локальном узле. 
Таким образом, пока вы не настроите эти серверы, пользователи, которые не вошли 
на ваш локальный сервер, не смогут отправлять почту на почтовый сервер или за- 
действовать ваш компьютер в качестве общедоступного ОМ5-сервера. 


Шаг 3. Запуск сервера 


Большинство служб, устанавливаемых в Глпих, настроены на запуск при загрузке 
системы, а затем на непрерывную обработку запросов, пока система не будет вы- 
ключена. Существует два основных средства для управления службами: зузета (ис- 
пользуется в настоящее время в дистрибутивах ВНЕТ, ОЪапеи и Еедога) и скрипты 
Зует\Ушй (применяются в системах Кеа На Ещегриве Глпих версии КНЕТ. 6.х). 
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Независимо от того, какое средство используется в вашей системе пих, ваша 
задача — установить, хотите ли вы, чтобы служба появлялась при загрузке системы, 
а также нужно ли запускать, останавливать и перезагружать службу по мере необ- 
ходимости (возможно, при загрузке новых файлов конфигурации или временном 
запрете на доступ к службе). Команды для выполнения этих задач описаны в гла- 
ве 15 «Запуск и остановка служб». 

Большая часть служб реализуется в качестве демон-процессов. Вот что нужно 
знать об этих процессах. 


® Права доступа пользователей и групп. Демоны часто выполняются от имени 
пользователей и групп, отличных от суперпользователя. Например, демон Пра 
работает как пользователь арасће, а демон пера — как пользователь пёр. Причина 
этого заключается в том, что, если кто-то взломает эти демоны, они все равно 
не получат прав на доступ к файлам за пределами данных служб. 


ә Файлы конфигурации демонов. Чаще всего у службы есть свой файл конфигу- 
рации для демона, который хранится в каталоге /еёс/ ѕуѕсоп+іе. Он отличается 
от файла конфигурации службы тем, что его задача заключается в передаче 
аргументов самому серверному процессу, а не в настройке службы. Например, 
параметры, заданные в файле /еЕс/зузсоп1в/гзу$1ова, передаются демону 
г5у$1ов4 при его запуске. Допустим, можно указать демону выводить допол- 
нительную отладочную информацию или принимать сообщения удаленного 
журнала. См. справочную страницу нужной службы (например, тап гѕуѕ1ова), 
чтобы узнать, какие параметры для нее поддерживаются. 


® Номер порта. Пакеты данных поступают в систему и из нее переходят по 
сетевым интерфейсам через порты для каждого поддерживаемого протокола 
(обычно ОПР или ТСР). Большинство стандартных служб имеют опреде- 
ленные номера портов, к которым подключаются демоны и клиенты. Если 
не нужно скрывать местоположение службы, то номера портов не изменяют- 
ся. При переходе к защите службы необходимо убедиться, что порт к службе 
открыт в брандмауэре (см. главу 25 «Защита Гапах в сети», чтобы узнать 
о брандмауэрах ірёаБ1еѕ и Ғігема114). Кроме того, если изменить порт, на 
котором прослушивается служба, а система 5Е1іпих при этом находится 
в принудительном режиме, она может запретить демону прослушивать этот 
порт (см. главу 24 «Повышенная безопасность с технологией $Е пих», чтобы 
узнать о системе ЗЕ тих). 


ПРИМЕЧАНИЕ 


Причина изменения номеров портов в сервисе основывается на принципе «безопасность через неясность» 
(ѕесигіїу Бу оБ5си у). Например, служба ѕѕћа чаще всего становится целью для тех, кто пытается взломать систе- 
му, угадывая логины и пароли на ТСР-порте 22. 


Я знаю, что некоторые пользователи меняли свой интернет-сервис $514, чтобы задействовать другой номер порта 
(возможно, какой-то неиспользуемый порт с большим номером). Затем они просили друзей или коллег войти 
в их компьютер из 55Н, указав новый номер порта. Суть заключается в том, что сканеры портов, желающие про- 
никнуть в систему, с меньшей вероятностью просканируют неиспользуемый порт. 
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Не все службы работают непрерывно, как это делают демоны. Некоторые 
устаревшие службы ОМІХ запускались по требованию с помощью суперсервера 
хіпе+а. Другие службы просто запускаются один раз при каждом запуске. Третьи 
запускаются определенное количество раз, и демон сгопа видит, что служба была 
настроена для запуска в определенное время. 

В последние годы службы хіпе+а в системах КНЕГ и Еедота, такие как +е1пеї 
и ғр, были преобразованы в службы ѕуѕќета. Ряд служб, включая соскрл\, ис- 
пользуют сокеты ѕуѕёета для достижения тех же результатов. 


Шаг 4. Защита сервера 


Открытая система позволяет удаленным пользователям получить доступ к ней 
по сети, и это не то решение, которое принимается легко и просто. Взломщики по 
всему миру запускают программы для сканирования уязвимых серверов, которые 
они могут использовать, чтобы хранить свои данные или добавить ресурсы к своей 
вычислительной мощности. К счастью, в системах [лпих существуют меры защиты 
серверов и служб от атак злоумышленников. 

Общие методы обеспечения безопасности описаны в следующих разделах. 
О защите системы более подробно рассказано в части У «Методы обеспечения 
безопасности в іпих». 


Защита пароля 


Качественные надежные пароли — это первая линия обороны в защите системы 
Тлпих. Если пользователь может войти на ваш сервер через протокол $51 как 
суперпользователь с простейшим паролем, ожидайте, что сервер будет в итоге 
взломан. Метод защиты состоит в том, чтобы запретить прямой вход в систему 
с помощью пароля гоо и потребовать, чтобы все входили в систему как обычные 
пользователи, а затем применяли команды ѕи или ѕиао для получения прав су- 
перпользователя. 

Можно также задействовать подключаемый модуль аутентификации (раззае 
аи феписайоп тодще, РАМ) для установки количества неудачных попыток входа 
в систему, которые может сделать пользователь, прежде чем будет заблокирован. 
Модули РАМ включают в себя и другие функции для блокировки аутентификации 
на сервере Глпих. (Описание модулей РАМ см. в главе 23 «Продвинутые методы 
обеспечения безопасности».) 

Конечно, можно полностью обойти пароли, требуя аутентификации с открытым 
ключом. Чтобы применить этот тип аутентификации, необходимо убедиться, что 
любой пользователь, который получает доступ к серверу, имеет открытый ключ, 
скопированный на сервер (например, через $$1-сору-1а). Затем он может задей- 
ствовать команды $51, ѕср или связанные команды для доступа к этому серверу без 
ввода пароля. (См. подраздел «Аутентификация на основе ключей (без пароля)» 
далее в этой главе.) 
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Брандмауэры 


Служба брандмауэра 1р+аб1е5 может отслеживать каждый пакет, поступающий 
от сетевых интерфейсов компьютера и в обратную сторону, и реагировать на него. 
С помощью брандмауэра ірёаБ1еѕ можно отбросить или отклонить каждый пакет, 
запрашивающий службы в системе, за исключением подключенных. Кроме того, 
можно указать брандмауэру 1реаб1ез разрешать запросы на обслуживание только 
с определенных ІР-адресов («хорошие» пользователи) и не разрешать запросы 
с других («плохие» пользователи). 

В последних версиях дистрибутивов КНЕГ. и Ее4ога служба Ғігема11а добавила 
больше функциональности в работу брандмауэров Глпих. С помощью функции 
Ғігема114 можно не только вставлять правила брандмауэра в ядро, но и создавать 
свои правила, разделяя их на зоны, и быстро изменять их в соответствии с собы- 
тиями, происходящими в системе. 

В каждой из глав, посвященных серверам, я расскажу, какие порты должны быть 
открыты для доступа к службам. Описание того, как работают ірёаб1еѕ и Ғігема114, 
включено в главу 25 «Защита пах в сети». 


Средства ТСР \Мтаррегѕ 


Средства ТСР Утарре!$, использующие файлы /еёс/һоѕ+ѕ .а11ом и /ефс/но$+$ .аепу, 
которые разрешают и запрещают доступ различными способами к выбранным 
службам, применялись в основном для защиты устаревших служб ОМІХ и теперь 
считаются недостаточно безопасными. Программа ТСР \таррег (каталог /изг на 
/ѕріп/есра) — это то единственное общее в системах, в которых задействуется служ- 
ба хіпе+а, а файлы /еёс/һоѕіѕ.а110м и /еёс/һоѕ&ѕ . епу, которые программа ТСР 
М/гаррег проверяла перед предоставлением доступа к сетевым службам, теперь про- 
веряются специальными демонами. Параметр конфигурации в файлах конфигурации 
для этих демонов часто обозначается как поддержка ТСР Ұтаррег. 


Система ЅЕШпих 


Еедога, Кеа Наё Ещегрг1зе Ііпих и другие дистрибутивы Глпих поставляются 
с подключенной функцией Ѕесигіќу ЕпБапсе4 Тлпах ($Е11пих) в принудительном 
режиме (ЕпҒогсіпв). Хотя режим по умолчанию не оказывает большого влияния 
на большинство приложений, запускаемых в Глпих, он значительно влияет на 
большую часть основных служб. 

Основная функция 5Е пих заключается в защите содержимого системы Глпих 
от процессов, запущенных в системе. Другими словами, ЗЕ пах гарантирует, что 
веб-сервер, ЕТР-сервер, сервер Ѕатђа или ОМ 5$-сервер могут получить доступ 
только к ограниченному набору файлов в системе (определяется содержимым фай- 
лов), и разрешает лишь ограниченный набор функций (определяется логическими 
значениями и ограниченным доступом к порту). 

Более подробно о том, как использовать ЗЕГлпих, можно узнать в главе 24 «По- 
вышенная безопасность с технологией $Е1іпих». 
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Параметры безопасности в файлах конфигурации 


В файлах конфигурации большинства служб содержатся значения, которые можно 
задать для дальнейшей защиты службы. Например, для файловых и веб-серверов 
можно ограничить доступ к определенным файлам или данным на основе имени 
пользователя, имени узла, ІР-адреса или других атрибутов. 


Шаг 5. Мониторинг работы сервера 


Поскольку невозможно постоянно контролировать все службы, необходимо уста- 
новить инструменты мониторинга, чтобы следить за работой серверов. Инструмен- 
ты, которые можно применять для мониторинга серверов, описаны в следующих 
пунктах. 


Настройка журналирования 


С помощью службы гѕуѕ1ор (демон гѕуѕ1оваӣ) можно собирать важную информа- 
цию и ошибки в файлы журналов множества различных служб. По умолчанию 
в дистрибутиве КНЕІ. сообщения журнала из приложений направляются в фай- 
лы журнала в каталоге /\уаг/105. Для дополнительной безопасности и удобства 
сообщения журнала могут быть направлены также на централизованный сервер, 
в котором находятся все записи журнала. 

Для работы со службой гѕуѕ1ов и управления сообщениями журнала доступно 
несколько различных программных пакетов. Функция 1овмаїсһ сканирует файлы 
журнала каждую ночь и отправляет важную информацию, собранную из них, на 
выбранный адрес электронной почты. Функция 1овпоа+е создает резервные ко- 
пии файлов журналов в сжатые архивы, когда журналы достигают определенного 
размера или когда с момента предыдущего резервного копирования проходит 
заданное количество времени. 

Функции настройки системного журналирования и управления им описаны 
в разделе «Настройка журнала системы» далее в этой главе. 


Запуск отчетов активности системы 


Средство ѕаг (пакет зуз5%а*) можно настроить для наблюдения за действиями 
в системе, например за использованием памяти и процессора, задержкой диска, 
сетевой активностью и другими утечками ресурсов. По умолчанию функция заг 
запускает программу ѕайс каждые несколько минут днем и ночью и собирает дан- 
ные. Просмотр этих данных позже может помочь выяснить, где и когда повышается 
спрос на ресурсы в системе. Функция ѕаг описана в разделе «Проверка системных 
ресурсов с помощью функции ѕаг» далее в этой главе. 
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Просмотр текущей активности 
с помощью интерфейса Соскріё 


С помощью программы СоскрЁ можно наблюдать за активностью системы в ре- 
жиме реального времени. Откройте браузер, чтобы отобразить интерфейс СосКріё 
(ІосаІһоѕі:9090). Он позволяет в режиме реального времени видеть процент исполь- 
зования процессора, потребление памяти и подкачки, сколько данных записыва- 
ется на диск и с диска (дисковый ввод-вывод), а также отследить сетевой трафик 
по мере его сбора и отображения на экране. На рис. 13.1 показана вкладка Система 
(Ѕуѕіет) программы Соскри, отображающая данные об активности. 


РЕБОВА МОРКЅТАТІОМ ЕОІТІОМ +: 


Наётаге Вед Нас КУМ Зее > Га 


Мәсһіпе 0 12205556426945292165926555558с4 00 
тш ИИТ" ТЕ 


Оотат јот сита 
Ѕумет Тие 201011281512 Ө 


Роне Орбопа киа = 


Реоттапсе Рио поле 


боғе Месгісв © 


Рис. 13.1. Вход в интерфейс Соскріє 


Обновление программного обеспечения 


При обнаружении и исправлении ошибок в системе безопасности необходимо 
убедиться, что на серверах установлены актуальные пакеты программного обе- 
спечения, которые содержат исправления. Для чрезвычайно важных серверов 
самый безопасный и эффективный способ обновления — использовать подписку 
на системы Кеа Наб Епќегргіѕе Глпих, а затем развертывать полученные обновления 
пакетов безопасности в системе. 

Чтобы поддерживать персональные серверные и настольные системы в актуаль- 
ном состоянии, существуют различные графические инструменты для добавления 
программного обеспечения и проверки наличия обновлений. Можно также при- 
менить команду уит для проверки и установки всех пакетов, доступных для систем 
ВНЕЕ или Еедога (введите ап+ ирӣа+е или уит ирда*е). 
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Проверка системы на наличие взломов 


Чтобы проверить файловую систему на наличие взломов, можно запустить команду 
грт-\, чтобы узнать, не были ли в системе изменены какие-либо команды, файлы 
документов или файлы конфигурации. Чтобы больше узнать о команде грт -\, об- 
ратитесь к главе 10 «Управление программами». 

Теперь вы знаете, как выполняется настройка сервера Глпих. В следующих раз- 
делах главы основное внимание будет уделено инструментам, необходимым для 
доступа к серверным системам Глпих, их защиты и обслуживания. 


Проверка и настройка серверов 


Далее рассмотрим большинство аспектов, которые нужно проверять, будучи адми- 
нистратором сервера Глпих. Имейте в виду, что сейчас многие серверы в крупных 
центрах обработки данных развертываются и управляются более крупными плат- 
формами. Поэтому, прежде чем вносить в сервер какие-либо изменения, узнайте, 
как им управлять. Изменения могут быть перезаписаны автоматически, если вы 
изменили определенное состояние этой системы. 


Управление удаленным доступом с помощью 
службы бесиге Ѕһеіі 


Инструменты Ѕесите 5йеЙ — это набор клиентских и серверных приложений, 
которые позволяют реализовывать базовую связь между клиентскими компьюте- 
рами и сервером Ііпих. Эти инструменты включают в себя $51, ѕср, р и многие 
другие команды. Поскольку связь между сервером и клиентами зашифрована, эти 
инструменты более безопасны, чем аналогичные, но устаревшие. Например, вместо 
старых команд удаленного входа, таких как +е1пеї или г1оріп, можно использовать 
команду ѕ5һћ. Команда ѕѕһ также может заменить устаревшие команды удаленного 
выполнения, например г$Н. Команды удаленного копирования, к примеру гср, 
можно заменить безопасными командами, такими как ср и гзупс. 

С помощью инструментов Зесиге ЗВеЙ и процесс аутентификации, и все после- 
дующие коммуникации шифруются. Коммуникации из команды +е1пе* и более 
старой команды "г" свободно предоставляют пароли и все данные. Сегодня ёе1пе+ 
и подобные команды должны применяться только для тестирования доступа к уда- 
ленным портам, предоставления общедоступных услуг, таких как загрузка РХЕ, 
или выполнения других задач, которые не раскрывают личные данные. 


ПРИМЕЧАНИЕ 


Для более глубокого изучения методов шифрования обратитесь к главе 23. 
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Большинство систем Гпих обеспечивают безопасность оболочки клиента, 
а многие из них — и безопасность оболочки сервера. Например, если вы использу- 
ете дистрибутив Еейога или КНЕГ, клиентские и серверные программные пакеты, 
содержащие инструменты $51, — это пакеты орепѕѕћһ, ореп$$!-с11еп{$ и орепѕѕһ- 
зегуег. Выглядит это следующим образом: 


# уит 115% іпѕёа11еа | егер орепѕѕһ 


орепѕ5һ.х86 64 7.9р1-5.+с30 @апасопаа 
орепѕѕ5һ-с1іепіѕ.х86 64 7.9р1-5.#с30 @апасопаа 
орепѕ5һ-ѕегуег.х86 64 7.9р1-5.#с30 @апасопаа 


В дистрибутиве ОБипёи установлен только пакет орепѕѕћ-с1іепїѕ. Он включает 
в себя все функции пакета орепѕѕћ. Если нужно установить сервер, используйте 
команду ѕиао ар -веї іпѕа11 орепѕѕһћ-ѕегуег: 
$ ѕидо арке --1151 | егер орепѕѕћ 
орепѕ5ћ-с1іепі/біопіс-ирӣа+еѕ ,біопіс-ѕесигіёу, пом 1:7.6р1-4ирипёие. З ата64 
[іпѕ+а11еа] 

ѕесиғе ѕһе11 (55Н) с11епф, Фог зесиге ассеѕѕ Фо гетофе тасһіпеѕ 
орепѕ5ћ-с1іепё-55һ1/біопіс 1:7.5р1-10 ата64 

зесиге ѕһе11 (55Н) с1іепі Ғог Іерасу 55Н1 ргофосо1 


орепѕ5ћ-5ҒЕр-ѕегмег/біопіс-ираа+еѕ , біопіс-ѕесигі+у, пом 1:7.6р1-4ирипёие. з 
атаб4 [іпѕ&а11еа] 

зесиге ѕһе11 (55Н) 5+ Ер зегуег тоди1е, Ғог ЅЕТР ассеѕ5 Ғгот гето*е 
тасһіпеѕ 
$ ѕидо ар-реі іпѕ+а11 орепѕ5һ-ѕегуег 


Запуск службы орепѕѕһ-ѕегуег 


Системы Глпах, которые поставляются с уже установленным пакетом орепѕѕһ- 
зегуег, не всегда настроены на его автоматический запуск. Управление службами 
Тіпих (см. главу 15 «Запуск и остановка служб») может различаться в зависимости 
от различных дистрибутивов. В табл. 13.1 показаны команды, определяющие, что 
ѕѕһ-демон сервера — ѕ55һ — запущен и работает. 


Таблица 13.1. Команды, определяющие состояние демона ѕѕћа 


Дистрибутив Команда 

ВНЕГ 6 сҺКсопће --1156 ѕ=һа 
Ғедога и КНЕТ. версии 7 и позже ѕуѕёетсі] ѕќасиѕ ѕ5һ.ѕегуісе 
ОЪипёи зузбетс@ збабиз ѕ5.ѕегуісе 


Если демон ѕѕһћа в данный момент не запущен, его можно запустить, выполнив 
одну из команд, перечисленных в табл. 13.2. Для их работы требуются права супер- 
пользователя. 
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Таблица 13.2. Команды для запуска $5На 


Дистрибутив Команда 

ВНЕГ 6 зегутсе ѕ5һа збагё 

Еедога и ВНЕГ версии 7 и позже зузбетс збагё $3В4.зегу1се 
ОЪипеи ѕуѕіетсії збагё ѕ5һ.ѕегуісе 


Команды в табл. 13.2 запускают только службу ѕѕћ или ѕѕһа. Они не настраива- 
ют ее на автоматический запуск при загрузке. Чтобы убедиться, что служба сервера 
настроена на автоматический запуск, необходимо задействовать одну из команд из 
табл. 13.3 с правами суперпользователя. 


Таблица 13.3. Команды для автоматического запуска службы ѕѕһа 


Дистрибутив Команда 

ВНЕГ 6 СҺКсопће ѕѕһа оп 

Ее4ога и КНЕГ версии 7 и позже зузбетс@ епаБе ѕѕһа.ѕегуісе 
ОЪипёи зузбетс@ епаЫе ѕ5һ.ѕегүісе 


При установке пакета орепѕ5ћ-ѕегуег на ОБипёи демон ѕѕһа настраивается на 
автоматический запуск при загрузке. Поэтому для сервера ОБипёи не обязательно 
выполнять команду из табл. 13.3. 

Измените настройки брандмауэра, чтобы разрешить пакету орепѕѕћ- с1їепї до- 
ступ к порту 22 (брандмауэры описаны в главе 25 «Защита Глпих в сети»). После 
запуска службы и правильной настройки брандмауэра вы сможете использовать 
клиент ѕѕһ для доступа клиентов к вашей системе через $$Н-сервер. 

Любые дальнейшие настройки действий демона ѕ5ѕһа обрабатываются в файле 
/еёс/ѕ5һ/ѕ5һа сопғів. Как минимум можно установить параметр Реги1ВооГов1п 
в значение по, чтобы никто не мог удаленно войти в систему как суперпользователь: 


# ргер Регті+Кооіоріп /ес/55/55һа сопҒів 
Регті+Кооёіоріп по 


После изменения файла ѕѕһа_сопғів перезапустите службу ѕѕһа. Если вы за- 
действуете $51 для входа в эту систему с удаленного клиента, необходимо сделать 
это от имени обычного пользователя, а затем применить команду $чао, чтобы стать 
суперпользователем. 


Инструменты 55Н-клиента 


Для работы со службой $$5Н было создано много инструментов доступа к удален- 
ным системам Глпих. Наиболее часто используемым из них является команда ѕѕћ 
для удаленного входа в систему и удаленного выполнения других задач. Такие 
команды, как ѕср и гѕупс, могут копировать один или несколько файлов одновре- 
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менно между клиентскими и серверными системами 55Н. Команда ѕ#р предостав- 
ляет интерфейс, подобный ЕТР-серверу, для обхода удаленной файловой системы, 
а также получения файлов и их размещения между системами в интерактивном 
режиме. 

По умолчанию все связанные с 55Н инструменты аутентифицируются с по- 
мощью стандартных имен пользователей и паролей Глпих через зашифрованные 
соединения. Поддерживает $55Н и аутентификацию на основе ключей без ввода 
пароля между клиентами и серверами $$Н, как описано в подразделе «Аутенти- 
фикация на основе ключей (без пароля)» далее в этом разделе. 


Удаленный вход в систему с помощью команды $51 


Используйте команду $$1 с другого компьютера Глпах, чтобы проверить, сможе- 
те ли вы войти в систему Глпих, на которой работает служба ѕѕһа. Вы будете чаще 
всего применять именно эту команду, чтобы получить доступ к оболочке на серве- 
рах, которые настраиваете. 

Войдите на свой сервер Глпих из другой системы Глпах с помощью команды 
ѕѕһ. (Если нет другой системы Гпих, можете имитировать это действие, введя 
команду 1оса1һоѕї вместо ТР-адреса и войдя в систему как локальный пользо- 
ватель.) Далее приведен пример удаленного входа в учетную запись уоппдое по 
адресу 10.140.67.23: 


$ ѕ5һ јоһпаое@10.140.67.23 

Тһе аиёһепёісі+у о+ һоѕЕ '10.140.67.23 (10.140.67.23)' 
сап'+ Бе еѕёаб1іѕһеа. 

КЅА Кеу Ғіпрегргіпё 15 
а4:28:03:85:89:64:08:Ға:99:15:еаӣ: +6 :60:67:55:89. 

Аге уои зиге уои мап +о сопёіпие соппесЕ1та (уеѕ/по)? уеѕ 

Магпіпе: Регтапеп+1у аааеа '10.140.67.23' (КЅА) +о +һе 
1151 оғ Кпомп Но$*$. 

јоһпӣое@10.140.67.23'5 раззмога: ******жж* 


При первом входе в удаленную систему с помощью команды $$Н система по- 
просит вас подтвердить, действительно ли вы хотите подключиться. Введите уеѕ 
и нажмите клавишу Епќег. Когда получите приглашение командной строки, введите 
пароль пользователя. 

При вводе варианта уез для продолжения вы принимаете открытый ключ уда- 
ленното хоста. В этот момент ключ загружается в файл клиента -/ . 55ћ/Кпонп_һоѕ&5. 
Теперь данные, которыми обмениваются эти две системы, могут быть зашифрова- 
ны и расшифрованы с помощью асимметричного шифрования КЅА (см. главу 23 
«Продвинутые методы обеспечения безопасности» ). 

Войдя в удаленную систему, можно начинать вводить команды оболочки. Со- 
единение будет работать так же, как и обычный вход в систему. Единственная раз- 
ница заключается в том, что данные шифруются по мере их перемещения по сети. 

По окончании введите ехії, чтобы завершить удаленное соединение. Соеди- 
нение прерывается, и вы возвращаетесь в командную строку в своей локальной 
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системе. (Если локальная оболочка не возвращается после выхода из удаленной 
оболочки, введите любой текст, это поможет прервать соединение.) 
$ ехії 


1орои+ 
Соппесііоп Ёо 10.140.67.23 с1оѕеа 


После прерывания удаленного подключения к системе в вашем локальном си- 
стемном подкаталоге появится файл ~. ѕ5ћ/Кпомп_һоѕёѕ. Он содержит открытый 
ключ удаленного хоста вместе с его ІР-адресом. Открытый и закрытый ключи 
вашего сервера хранятся в каталоге /еЁс/55ћ: 


$ 15 .ѕ5һ 

Ккпомп_ћоѕѕ 

$ са .55һ/Кпомп_һоѕ5 

10.140.67.23 ѕ5һ-гѕа 
ДАААВЗМ№асС1ус2ЕААААВІЛАААОЕАоу#ЈК1Үл2ПМтрнЕ4уІР2А292МЕЯаКЕ71159+#3І 
уб1Н211ј#д5 

М№МҮҒК1021ВІ 1ҮУТО1іӨдбг/90196лСаЈ753ІпОЗЕАНА+ООҮОС5рОтеһһп 
/хөір2иОббер0иб2іт1МЕС 

22 #5ОМККау4еисиЕМЅ$дАрһ/МҮеи05020рр2ІАМСаһб 
м/РІНМЕ1НУКеб9суау+ОТі 4у00Х8115рм 
@о29Кре220060ВВЬВјк1Какр7+Ү1Тгиу 

МОГУб/и=Е рРаү4ЈрҮеүбоВг саарх2тҒ7ЕҮ0м@исХСс\№01а 

МР /егІро09гАВҮМ№2СКу 

у21ҮСт2 / ЗаарАхс+0Үі505ѕхТм4ем5ВјтѕХҮд/ /Аһам4тји== 


СОВЕТ 


При следующих подключениях этого пользователя к серверу по адресу 10.140.67.23 он будет аутентифицироваться 
с помощью сохраненного ключа. Если сервер изменяет свой ключ (это происходит, если операционная система пере- 
установлена или изменены ключи), попытки подключиться к системе приведут к отказу в соединении и выводу преду- 
преждения о том, что вы можете подвергнуться атаке. Если ключ действительно изменился, то чтобы снова получить 
доступ по 55} кэтому адресу, просто удалите ключ хоста (всю строку) из файла кпомт_ћоѕї5 и скопируйте новый ключ. 


Удаленное выполнение команд с помощью команды 55ћ 


Помимо входа в удаленную оболочку, команда 5$Н может использоваться для уда- 
ленного выполнения команды и возврата выходных данных в локальную систему, 
например: 

$ 55һ јоһпдое@10.140.67.23 һоѕ+пате 


јоһпӣое@10.140.67.23'5 раѕѕмога: ******жжжжж 
ћоѕ&01.ехатр1е. сот 


В примере команда һоѕ&%пате выполняется от имени пользователя јоһпаое 
в системе Ііпих, расположенной по ТР-адресу 10.140.67.23. Выходные данные ко- 
манды — это имя удаленного хоста (в данном случае һоѕ&61.ехатр1е. сот), который 
появляется на локальном экране. 
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Если вы запускаете команду удаленного выполнения $51, которая включает 
параметры или аргументы, обязательно заключите всю удаленную командную 
строку в кавычки. Имейте в виду, что, если вы ссылаетесь на файлы или каталоги 
в удаленных командах, относительные пути интерпретируются по отношению 
к домашнему каталогу пользователя, как показано далее: 


$ $5 јоһпаое@10.140.67.23 "са ту+11е" 
јоһпӣое@10.140.67.23'5 раззмога: ******жжжжж 
Сопфеп*5 о+ һе туғҒі1е +11е 1оса+еа іп јоһпӣое'ѕ һоте аігес+огу. 


В примере команда ѕ5ћ переходит на удаленный хост, расположенный по адре- 
су 10.140.67. 23, и запускает команду саї туҒі1е от имени пользователя јоһпаӣое. 
Это приводит к отображению содержимого файла ту+і1е из этой системы на ло- 
кальном экране. 

Другой тип удаленного выполнения, который можно реализовать с помощью 
ѕ5һ, — это переадресация Х11 (Х \/тао\ Зузбет, версия 11). Если на сервере 
включена переадресация Х11 (в файле /еёс/ѕѕ$ћа/ѕ5һа_сопғів установлен параметр 
Х11Еогмапаіпе уеѕ), можете безопасно запускать графические приложения с сер- 
вера по 55 Н-соединению с помощью команды $$1 -Х. Для нового администратора 
сервера это означает, что, если на сервере установлены графические средства ад- 
министрирования, их можно запускать и не сидя за локальным компьютером, как 
в этом примере: 


$ 55һ -Х јоһпаое@10.140.67.23 ѕуѕ+ет-сопҒів-ргіпёег 
јоһпӣое@10.140.67.23'5 раззмога: *****жжжжж 


После выполнения этой команды вам будет предложено ввести пароль админи- 
стратора. Затем появится окно Ргіпќегѕ (Принтеры), которое позволяет настроить 
принтеры. По окончании просто закройте окно, и локальное приглашение вернется. 
Это можно сделать для любого графического инструмента администрирования 
или для обычных Х-приложений, таких как графический редактор ве41* (тогда 
не придется применять уі). 

Если вы хотите выполнить несколько команд Х, но не хотите каждый раз 
повторно подключаться, используйте переадресацию Х11 непосредственно из 
удаленной оболочки. Поместив команды в фоновый режим, вы сможете иметь 
несколько удаленных приложений Х, работающих на вашем локальном рабочем 
столе одновременно, например: 


$ $5 -Х јоһпаое@10.140.67.23 
јоһпӣое@10.140.67.23'5 раззмога: *****жжжжж 
$ ѕуѕет-сопҒів-ргіп+ег & 

$ веа1+ & 

$ ехії 


После завершения работы с графическими приложениями закройте их как 
обычно. Затем введите команду ехіќ, как показано в приведенном ранее коде, чтобы 
покинуть удаленную оболочку и вернуться в локальную. 
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Копирование файлов между системами 
с помощью команд $ср и гѕупс 


Команда ѕср похожа на устаревшую ОМІХ-команду гср для копирования файлов 
в системы пих и из них, только в данном случае все коммуникации зашифрова- 
ны. Файлы могут быть скопированы из удаленной системы в локальную или из 
локальной в удаленную. Есть также возможность рекурсивно копировать файлы 
через всю структуру каталогов. 

Далее приведен пример применения команды ѕср для копирования файла, вы- 
званного из домашнего каталога пользователя сһгіѕ, в каталог /&тр на удаленном 
компьютере под именем пользователя јоһпдое: 
$ ѕср /һоте/сһгіѕ/тето јоһпӣое@10.140.67.23: /+тр 


јоһпӣое@10.140.67.23'5 раѕѕмогӣ: *****жжжжжжжжжж 
тето 10095 | **жжжжжжжжжжжжжх | 153 0:00 


Вы должны ввести пароль для пользователя јоһпӣое. После этого файл успешно 
копируется в удаленную систему. 

Можно также делать рекурсивные копии с помощью команды ѕср, применив 
параметр -г. Вместо файла передайте имя каталога команде ѕср, и все файлы и ка- 
талоги ниже этой точки в файловой системе будут скопированы в другую систему: 


$ ѕср јоһпаое@10.140.67.23: /иѕг/ѕһаге/тап/тап1/ /&тр/ 
јоһпӣое@10.140.67.23'5 раѕѕмога: ****ж*жжжжжжжжжжж 


уо1пате.1. 82 100% 543 Ө.5КВ/5 00:00 
піоо15.1.р2 100% 6788 6.6КВ/5 00:00 
годе*.1.57 100% 2496 2.4КВ/5 00:00 


Пока пользователь јоһпӣое имеет доступ к файлам и каталогам в удаленной 
системе, а локальный пользователь может записывать данные в целевой каталог 
(в данном случае оба значения верны), структура каталогов из /иѕг/ѕһаге/тап/ 
тап1аоип копируется в локальный каталог /&тр. 

Команда ѕср может применяться для резервного копирования файлов и ка- 
талогов по сети. Однако, если сравнить команду ѕср с командой гѕупс, то видно, 
что команда гзупс (которая также работает через $55Н-соединения) — это лучший 
инструмент резервного копирования. Попробуйте выполнить команду ѕср, чтобы 
скопировать каталог тап1 (можете имитировать команду, используя 1оса1һоѕї 
вместо ІР-адреса, если у вас есть только одна доступная система Глпих). В системе, 
в которую вы скопировали файлы, введите следующее: 


$ 15 -1 /иѕг/ѕһаге/тап/тап1/басһ* /Етр/тап1/ба+сһ* 

-ги-г--г--.1 јоһпаое јоһпаое 2628 Арг 15 15:32 /+тр/тап1/ба+сһ.1.р2 

Ігихгмхгмх.1 гоо гоо 7 Ғер 14 17:49 /иѕг/ѕһаге/тап/тап1/баёсһ.1.02 
=> а. 1.62 


Затем снова запустите команду ѕср и еще раз перечислите файлы: 


$ ѕср јоһпдое@10.140.67.23: /иѕг/ѕһаге/тап/тап1/ /%тр/ 
јоһпӣое@10.140.67.23'5 раѕѕмога: ******ж*жжжжжжж% 
$ 15 -1 /иѕг/ѕһаге/тап/тап1/Басһ* /Етр/тап1/басһ* 
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-ги-г--г--.1 јоһпаое јоһпаое 2628 Арг 15 15:40 /Етр/тап1/бафсН.1.57 
Ігихгмхгих.1 гооЁ гооЁ 7 Ееб 14 17:49 /иѕг/ѕһаге/тап/тап1/баёсһ.1.р= 
-> а*.1.57 


Вывод команд в примере объясняет, как работает команда ѕср. 


ө Потеря атрибутов. Права или атрибуты даты и времени не сохранились при 
копировании файлов. Если вы используете команду ѕср в качестве инструмента 
резервного копирования, то, вероятно, захотите сохранить права и временные 
метки на файлах, чтобы восстановить файлы позже. 


© Потеря символических ссылок. Файл баїсһ.1. 2 на самом деле является сим- 
волической ссылкой на файл а*.1.57. Вместо того чтобы копировать ссылку, 
команда ср переходит по ссылке и на самом деле копирует файл. Опять же, 
если нужно восстановить этот каталог, файл бафси.1.52 будет заменен реальным 
файлом а+.1.р2, а не ссылкой на него. 


е Копирование повторяется без необходимости. Второй вывод команды ѕср 
говорит о том, что все файлы были скопированы снова, несмотря на то что нуж- 
ные файлы уже скопированы в целевое место назначения. Обновленная дата 
изменений подтверждает это. Команда гѕупс, напротив, может определить, что 
файл уже скопирован, и не будет копировать его снова. 


Команда гзупс — лучший инструмент резервного копирования по сети, по- 
скольку не имеет перечисленных недостатков команды ѕср. Используйте команду 
гзупс, чтобы выполнить то же действие, какое выполнялось командой $ср, но с не- 1 3 
сколькими дополнительными параметрами: 


$ гм -гЕ /Етр/тап1/ 

$ гзупс -а\1 јоһпӣое@10.140.67.23: /иѕг/ѕһаге/тап/тап1/ /Етр/ 
јоһпӣое@10.140.67.23'5 раззмога: ****ж*жжжжжжжжжж* 

5еп41п= іпсгетепёа1 +11е 115+ 

тап1/ 

тап1/НЕАр.1.р2 

тап1/Маі1.1.р2 -> таі1х.1.рг 


$ гзупс -а\1 јоһпӣое@10.140.67.23: /иѕг/ѕһаге/тап/тап1/ /Етр/ 

јоһпӣое@10.140.67.23'5 раззмога: *****жжжжжжжжжжж 

ѕепаіпе 1псгетепфа1 +11е 115+ 

ѕепі 42362 Буфе$ гесе1\уед 13 Бу+еѕ 9416.67 Бу+еѕ/ѕес 

Ғоба1 $17е 15 7322223 зреедир 15 172.80 

$ 15 -1 /иѕг/ѕһаге/тап/тап1/басһ* /Етр/тап1/Бба+сһ* 

Ігмхгмхгмх.1 јоһпаое јоһпаое 7 Ееб 14 17:49 /+тр/тап1/баёсһ.1.р2 
-> а*.1.57 

Тгихгихгих.1 гооф гооЁ 7 Ееб 14 17:49 /иѕг/ѕһаге/тап/тап1/баёсһ.1.р= 
-> а*.1.57 


После удаления каталога /&тр/тап1 запустите команду гѕупс, чтобы скопи- 
ровать все файлы в каталог /&тр/тап1 с помощью параметров -а (рекурсивно 
архивировать), -\ (подробно) и -1 (копировать символические ссылки). Затем сра- 
зу же выполните команду еще раз и обратите внимание — ничего не скопируется. 
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Команда гѕупс знает, что все файлы уже скопированы, поэтому не будет делать 
это снова. Это позволяет экономить пропускную способность сети для каталогов 
с гигабайтами файлов, где изменяются лишь несколько мегабайт. 

Обратите также внимание на выходные данные команды 15 -1, где символиче- 
ские ссылки были сохранены в файле басһ.1.62 и поэтому на файле появилась 
метка даты/времени. Если понадобится восстановить эти файлы позже, их можно 
вернуть к первоначальному состоянию. 

В таком варианте команда гѕупс хорошо подходит для резервного копирования. 
Но что, если вы хотите зеркально отразить два каталога, сделав содержимое двух 
структур каталогов абсолютно одинаковым на двух компьютерах? Команды, при- 
веденные далее, иллюстрируют, как создать точное зеркало структуры каталогов на 
обоих компьютерах, используя каталоги, показанные с предыдущими командами 
гзупс. 

Сначала в удаленной системе скопируйте новый файл в копируемый каталог: 


# ср /ефс/зегу1се$ /иѕг/ѕһаге/тап/тап1 


Затем в локальной системе запустите гзупс, чтобы скопировать все новые фай- 
лы (в данном случае только каталог и новый файл ѕегуісеѕ): 


$ гѕупс -а\1 јоһпаое@10.140.67.23: /иѕг/ѕһаге/тап/тап1 /&тр 


јоһпӣое@10.140.67.23'5 раѕѕмога: 
ЖЖЖЖЖЖжЖЖЖжЖЖЖЖЖЖ 


ѕепаіпе 1псгетепфа1 +11е 115+ 
тап1/ 
пап1/ѕегуісеѕ 


После этого вернитесь в удаленную систему и удалите новый файл: 


$ зидо гт /иѕг/ѕһаге/тап/тап1/ѕегмісеѕ 


Теперь в локальной системе снова запустите команду гѕупс и обратите внимание 
на то, что в этот раз ничего не происходит. На этом этапе удаленный и локальный 
каталоги различаются, потому что локальная система имеет файл служб, а удален- 
ная — нет. Это правильное поведение каталога резервных копий. (Резервные копии 
хранятся на случай, если что-то было удалено по ошибке.) Но если вы хотите, чтобы 
удаленные и локальные каталоги были зеркально отражены, вам придется добавить 
параметр --Яе1еїе. В результате файл служб в локальной системе удаляется, что 
приводит к синхронизации удаленных и локальных структур каталогов: 


$ гѕупс -а\1 /иѕг/ѕһаге/тап/тап1 1оса1һоѕ+: /&тр 
јоһпӣое@10.140.67.23'5 раззмога: ****ж*жжжжжжжжжж 

зепа1па 1псгетепфа1 +11е 115+ 

тап1/ 

$ гѕупс -а\1 --Яе1е+е јоһпаое@10.140.67.23: /иѕг/ѕһаге/тап/тап1 /Етр 
јоһпӣое@10.140.67.23'5 раѕѕмога: *****жжжжжжжжжжж 

ѕепаіпе 1псгетепфа1 +11е 115+ 

Че1е{1п= тап1/ѕегуісеѕ 
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Интерактивное копирование с помощью команды ѕЁр 


Если вы не знаете точно, что хотите скопировать в удаленную систему или из нее, 
примените команду ѕ#Єр для создания интерактивного сеанса в стиле ЕТР через 
службу 55Н. С помощью команды ѕ#єр можно подключиться к удаленной системе 
через службу 55Н, изменить каталоги, перечислить содержимое каталога, а затем 
(при наличии соответствующих прав) получить нужные файлы и поместить их 
на сервер. Имейте в виду, что, несмотря на свое название, команда ѕ#&р не имеет 
ничего общего с протоколом ЕТР и не использует ЕТР-серверы. Она просто при- 
меняет стиль взаимодействия ЕТР между клиентом и сервером ѕѕһа. 

В следующем примере показано, как пользователь јоһпаое подключается 
к ја.ехатр1е. сот: 


$ 5ҒЕр јоһпаое@ја.ехатр1е. сот 

Соппесёіпе Фо ја. ехатр1е. сот 
јоһпаое@ја.ехатр1е.сот'ѕ раѕѕмога: ******жжжжжжжжж 
Ѕ#Ер> 


На этом этапе можно начать интерактивный сеанс ЕТР. Вы можете использо- 
вать команды ве и ри* для файлов, как и для любого ЕТР-клиента, зная при этом, 
что соединение безопасно и зашифровано. Поскольку протокол ЕТР передает име- 
на пользователей, пароли и данные в виде открытого текста, применение команды 
ѕ#ер через службу Э5Н (по возможности) — лучшая альтернатива для того, чтобы 
позволить пользователям копировать файлы в интерактивном режиме из системы. 


Аутентификация на основе ключей (без пароля) 


Если вы применяете инструменты 55Н для подключения к одним и тем же систе- 
мам в течение всего дня, то введение своего пароля снова и снова может быстро 
надоесть. Вместо аутентификации на основе пароля 55Н позволяет настроить 
аутентификацию на основе ключа. Вот как это работает. 


ө Вы создаете открытый и закрытый ключи. 


® Вы защищаете закрытый ключ, но копируете открытый ключ в учетную запись 
пользователя на удаленном узле, для которого хотите выполнить аутентифи- 
кацию. 


® Когда ключ скопирован в нужное место, вы с помощью любых инструментов 
ЅН подключаетесь к учетной записи пользователя на удаленном узле. Вместо 
того чтобы запрашивать пароль, удаленная служба $$Н сравнивает открытый 
и закрытый ключи и разрешает доступ, если они совпадают. 


При создании ключа можно добавить к закрытому ключу кодовую фразу. Если 
вы решили сделать это, то, даже если для аутентификации в удаленной системе 
не нужен пароль, необходимо вводить кодовую фразу, чтобы разблокировать за- 
крытый ключ. Если не добавлять фразу, то подключаться можно с помощью пар 
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открытых и закрытых ключей таким образом, чтобы полностью исключить ис- 
пользование пароля. Но если кому-то нужно получить доступ к вашему секретному 
ключу, он может действовать от вашего имени при любом соединении, которое 
требует этого ключа. 

Далее приведен пример того, как локальный пользователь с именем сһғіѕ может 
настроить аутентификацию на основе ключа для удаленного пользователя с име- 
нем уойпдое по ІР-адресу 10.140.67.23. Если у вас нет двух систем Гпих, можете 
имитировать действие, применив две учетные записи пользователей в локальной 
системе. Сначала я вошел в систему как локальный пользователь по имени сһгіѕ 
и набрал следующую команду, чтобы сгенерировать локальную пару открытых 
и закрытых ключей: 


$ 55һ-Ккеуреп 

бепега+іпе риб11с/рг1\уафе гза Кеу ра1г. 

Епёег +11е іп мһісһ Ёо зауе һе Кеу (/һоте/сһгіѕ/.55һ/іа гѕа): ЕМТЕК 
Епёег раѕѕрһгаѕе (етрфу Рог по раѕѕрһгаѕе): ЕМТЕК 

Епфег заме раѕѕрһгаѕе араіп: ЕМТЕВ 

Уоцг іаепіҒісаіоп Паз Бееп ѕауеа іп /һоте/сһгіѕ/.55һ/іа гѕа. 

Үои” риб11с Кеу һаѕ Бееп ѕамеа іп /һоте/сһгіѕ/.55һ/іа гѕа.рир. 

Тһе Кеу Ғіпвегргіпё 15: 
Ь#:06:#8:12:7+#:#4:с3:Өа:За:01:7#:4#:25:71:ес:1а сһгіѕ@абс.ехатр1е. сот 
Тһе Кеу'ѕ гапдотаг{ ітаре 15: 


Я принял ключ КЅА, предлагаемый по умолчанию (ключи ОЗА также раз- 
решены), и дважды нажал клавишу Етщег, чтобы добавить пустую фразу-пароль, 
связанную с ключом. В результате закрытый ключ (іа _гѕа) и открытый ключ 
(іа гѕа.рир) копируются в каталог .55Н на моем локальном домашнем каталоге. 
Далее я скопировал этот ключ удаленному пользователю, чтобы можно было при- 
менять аутентификацию на основе ключа каждый раз, когда я подключаюсь к этой 
учетной записи с помощью инструментов $51: 


$ 55һ-сору-іа -1 ~/.55һ/ій гѕа.риь јоһпаое@10.140.67.23 
јоһпӣое@10.140.67.23'5 раѕѕмога: 


ЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖ 


При появлении приглашения командной строки я ввел пароль пользовате- 
ля јоһпаое. После этого открытый ключ, принадлежащий пользователю сһгіѕ, 
копируется в файл аи{Ног12е9_кеуз в ѕ55һ-каталоге јоһпаӣое в удаленной системе. 
Когда сһгіѕ в следующий раз попытается подключиться к учетной записи јоһпаое, 
$5Н-соединение будет аутентифицировано с помощью этих ключей. Поскольку к за- 
крытому ключу не добавлялась кодовая фраза, снимать блокировку с него не нужно. 

Войдите в систему с помощью команды $51 )ойпдое@19.140.67.23 и проверьте 
файл $НОМЕ/ .ѕ5һ/аџёһогіғей Кеуѕ, чтобы убедиться, не добавлены ли дополни- 
тельные ненужные ключи: 


[спг1$]$ $$! јоһпаое@10.140.67.23 
[аз 1оріп: Ѕип Арг 17 10:12:22 2016 Ғгот 10.140.67.22 
[5уоһпаое]$ 
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Теперь, когда ключи сохранены, пользователь сйг15 может применить $51, 
ѕср, гзупс или любую другую команду с поддержкой $5Н для аутентификации по 
ключу. С помощью этих ключей, например, команда гзупс может войти в скрипт 
сгоп и автоматически создавать резервную копию домашнего каталога јоћпаое 
каждую ночь. 

Хотите еще больше обезопасить свою удаленную систему? После создания клю- 
чей для всех, кому можно входить в нее, можете настроить службу $$На в удаленной 
системе так, чтобы она не разрешала аутентификацию с помощью пароля, изменив 
параметр РаѕѕмогадАи&һепёісафіоп в файле /еЁс/55ћ/55һа_сопҒів на значение по, 
как здесь: 


Раѕѕмогадићепёісаёіоп по 


Затем перезапустите службу $$На (ѕуѕёетс1 геѕбагі ѕ5һа). После этого все, 
у кого есть действительный ключ, по-прежнему могут войти в систему. А тот, кто 
попытается войти в систему без ключа, получит следующее сообщение об ошибке 
(причем у него даже не будет возможности ввести имя пользователя и пароль): 


Регтіѕѕіоп 4еп1еЯ (риб1іскеу, вѕѕарі-Кеуех, вѕѕарі-мі+һ-тіс). 


Настройка журнала системы 


Зная, как получить доступ к удаленному серверу с помощью инструментов 55Н, 
вы можете войти на сервер и настроить некоторые службы, необходимые для 
обеспечения его бесперебойной работы. Ведение журнала системы — это одна из 
основных служб, настроенных для отслеживания того, что происходит в системе. 

Служба гѕуѕ1ов (демон г5у$1054) предоставляет функции для сбора сообще- 
ний журнала из программного обеспечения в системе Тіпих и их направления 
в локальные файлы журнала, на устройства или удаленные узлы ведения журнала. 
Конфигурация службы г5у$1ор аналогична конфигурации ее предшественницы, 
службы $зу$1ор. Однако служба гзу$105 позволяет добавлять модули для управле- 
ния сообщениями журнала и их направления. 

В последних версиях систем Ве4 Наб Епѓегргіѕе Глпих и Еедога функция гѕуѕ106 
использует сообщения, которые собираются и хранятся в журнале ѕуѕтета. Чтобы 
отобразить сообщения журнала непосредственно из журнала ѕуѕёета, а не про- 
сматривать их из файлов в каталоге /уаг/1ов, задействуйте команду јоигпа1с+1. 


Подключение журнала системы 
с помощью службы гѕуѕіод 


Большинство файлов в каталоге /уаг/108 заполняются сообщениями журнала, 
направленными из службы г5у$1ов. Демон гѕуѕ1ова — это демон ведения журна- 
ла системы. Он принимает сообщения журнала от множества других программ 
и записывает их в соответствующие файлы журнала. Такой вариант действий 
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предпочтительнее, чем когда каждая программа записывает данные непосредствен- 
но в собственный файл журнала, так как позволяет централизованно управлять 
обработкой файлов журнала. 

Возможна настройка службы г5у$10о54 для фиксирования различных уровней 
детализации в файлах журнала. Например, можно настроить службу так, чтобы 
она игнорировала все, кроме самых важных сообщений, или, наоборот, записывала 
каждую деталь. 

Демон гѕуѕ1ова может даже принимать сообщения от других компьютеров 
в сети. Функция удаленного ведения журнала достаточно удобна, так как позволяет 
централизовать управление файлами журналов и их просмотр из многих систем 
вашей сети. Кроме того, это дает важное преимущество в плане безопасности. 

При удаленном ведении журнала, если система в вашей сети взломана, зло- 
умышленник не сможет удалить или изменить файлы журнала, потому что они 
хранятся на отдельном компьютере. Однако важно помнить, что по умолчанию 
сообщения журнала не шифруются (хотя шифрование может быть включено). 
Любой, кто подключается к вашей локальной сети, может просматривать эти 
сообщения во время передачи их с одного компьютера на другой. Кроме того, 
хотя взломщики не могут изменять старые записи журнала, они способны по- 
влиять на систему таким образом, что любое новое сообщение журнала не будет 
правдивым. 

Запуск дополнительного хоста для журнала, компьютера, который будет слу- 
жить только для записи сообщений журнала с других компьютеров в сети, — не ред- 
кость. Такая система не запускает никаких других служб, поэтому маловероятно, 
что она будет взломана. А это делает практически невозможным то, что взломщики 
смогут полностью стереть свои следы. 


Работа файла гѕуѕ1од.сопЁ 


Файл /еёс/гѕуѕ108.сопҒ является основным файлом конфигурации для службы 
гѕуѕ1ор. В файле /еёс/гѕуѕ10в.сопҒ содержится раздел модулей, который позво- 
ляет добавлять или не удалять определенные функции в службе гѕуѕ1ов. Далее 
приведен пример раздела модулей файла /ес/гзуз1ов. соп+ в системе ВНЕЕГ 8: 


тоаи1е(1Іоаа="ітихѕоск" 

# ргоу14ез зиррогЕ Фог 1оса1 ѕуѕёет 1орріпе (е.в. уіа 1орвег соттапа) 

5узбоск.Изе="о++") # Тигп оҒҒ теѕѕаре гесеріоп уіа 1оса1 1ор ѕоске+; 

# 1оса1 теѕѕареѕ аге гегіемеа ЕПгоиёН ітјоигпа1 пом. 

тоаи1е(1Іоаа="імјоигпа1" 

# ргоуійеѕ ассеѕѕ Фо һе ѕуѕ+ета јоигпа1 

Ѕаеғі1е="ітјоигпа1.5&абе") # Рі1е Ёо ѕ+оге һе роѕіііоп іп һе 

јоигпа1 
#тоаи1е(1Іоаа="ітк1ое") 

# геааѕ Кегпе1 теѕѕавеѕ (&һе ѕате аге геа Ғгот јоигпа1а) 
#тоаич1е(1Іоаа="іттагк") 

# ргоу14ез --МАКК-- теѕѕаве сарарі1і+у 
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# Ргоу14ез ЦОР зу$1ов гесере1оп 

# Рог рагатефег$ ѕее Пр: //мим.гзу$1о8 .сот/аос/1тиар . пт1 
#тоаи1е(1оай="ітиӣр") # пеейѕ фо Бе опе јиѕё опсе 

#1 при (фуре="1тиар" рог{="514") 


# Ргоу14ез ТСР зуз1ов гесере1оп 

# Рог рагатефег$ зее Пр: //мим.гзу$1о8 .сот/аос/1тЕср. И+т1 
#тоаич1е(1оаа="ітёср") # пеейѕ Фо Бе допе }и$ опсе 

#1при* (+уре="ітіср" рогї="514") 


Строки, начинающиеся с тойи1е(1оаа=, загружают соответствующие модули. 
Перед модулями, которые в данный момент отключены, стоит знак фунта (#). 

Модуль ітјоигпа1 позволяет службе г5у$1ор получить доступ к журналу 
зуз+ета. Модуль ітихѕоск необходим для приема сообщений из локальной системы. 
(Он не должен быть закомментирован, то есть перед ним должен стоять знак фунта 
(#).) Модуль ітк10в собирает сообщения ядра. 

Модули, не включенные по умолчанию, включают модуль іттагк, который по- 
зволяет регистрировать сообщения с помощью параметра - -МАВК-- (используется 
для указания того, что служба активна). Модули 1тиар и ітёср и связанные с ними 
записи номеров портов применяются для того, чтобы служба гзу$1о8 могла прини- 
мать сообщения удаленного журнала, и более подробно рассматриваются в пункте 
«Настройка и использование узла ведения журнала с помощью службы г5у$[1054> 
далее в этом разделе. 

Большая часть работы, выполняемой в файле конфигурации /еёс/гѕуѕ10в. соп+, 
заключается в изменении раздела ВУЕЕ$. Далее приведен пример правил из разде- 
ла ВОГЕ$ файла /ес/гзу$1ор .соп* (обратите внимание на то, что в дистрибутиве 
ОБипи эта информация хранится в каталоге /еёс/гѕуѕ1ов. а): 


НН ВОГЕЗ #Н## 
# ор а11 Кегпе1 теѕѕареѕ о Не сопѕо1е. 


# Іорріпев тисһ е1ѕе с1иег$ ир {Пе ѕсгееп. 


#кегп. * /аем/ сопѕо1е 
# Тов апуёһіпе (ехсере таі1) о+ 1еме1 іпҒо ог һірһег. 
# роп'Є 1ор ргімаће аиёћһепёісабіоп теѕѕареѕ! 


ж. іпҒо ; таі1. попе; аићргіу. попе; сгоп. попе /маг/1ор/теѕѕареѕ 
# Тһе аиёһргіу +11е һаѕ геѕігіс+еа ассеѕѕ. 

аиёһргіу. * /маг/1ор/ѕесиге 
# ор а11 һе таі1 теѕѕареѕ іп опе р1асе. 

та11.* - /маг/10в/таі110ор 


# тов сгоп $ФиЕ 
сгоп.* /маг/1ор/сгоп 


Записи с правилами делятся на две колонки. В левой приведена информация 
о том, какие сообщения совпадают, в правой показано, куда (имя каталога) перехо- 
дят совпадающие сообщения. Сообщения сопоставляются на основе функции (таї1, 
сгоп, кегп и т. д.) и приоритета (начиная с ӣебие, іп+о, поёісе вплоть до сгіё, аїегі 
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и етег2)) и разделяются точкой (.). Так, параметр таі1. 1п+о соответствует всем со- 
общениям из почтовой службы, которые относятся к уровню информации и выше. 
Что касается того, куда отправляются сообщения, то большинство из них на- 
правляется в файлы в каталоге /уаг/1ов. Можно, однако, направить сообщения 
с другого устройства (например, устройства /деу/) либо с удаленного хоста (на- 
пример, @1о5По$* .ехатр1е. сот). Знак @ указывает, что это имя удаленного хоста. 

По умолчанию журналы ведутся только для локальных файлов в каталоге /маг/ 
1ов. Однако, если раскомментировать строку кегп. *, вы сможете легко направлять 
сообщения ядра всех уровней на экран консоли вашего компьютера. 

Первая рабочая запись в предыдущем примере показывает, что сообщения уров- 
ня информации от всех служб (*) соответствуют этому правилу, за исключением 
сообщений от служб та11, аџһргіу и сгоп (которые исключаются со словом попе). 
Все совпадающие сообщения направляются в файл /маг/10в/теѕѕавеѕ. 

Службы таії1, аитһргіу (сообщения аутентификации) и сгоп (сообщения функ- 
ции сгоп) имеют собственные файлы журналов, перечисленные в столбцах справа 
от них. Чтобы вы могли понять, как работают эти и другие файлы журнала, далее 
описывается файл /маг/10в/теѕѕавеѕ. 


Работа файла журнала сообщений 


Из-за того, что множество программ и служб записывают информацию в файл 
журнала сообщений, важно понимать формат работы этого файла. Изучив его, 
вы заранее можете получить предупреждение о проблемах, возникших в системе. 
Каждая строка файла — это одно сообщение, записанное какой-либо программой 
или службой. Вот фрагмент фактического файла журнала сообщений теѕѕареѕ: 


еб 25 11:04:32 +оуѕ пеїмогк: Вгіпріпе ир 1оорбаск: зиссееаеа 
еб 25 11:04:35 +оуѕ пеїмогк: Вгіпріпе ир іпёегҒасе еһе: зиссееадеа 
еб 25 13:01:14 +оуѕ уѕҒёра(рат ипіх) [10565]: аиёһепёісафіоп Фа11иге; 
1Іорпате= и149=0 еџиій=0@ ++у= гизег= гһоѕї=10.0.0.5 иѕег=сһгіѕ 
еб 25 14:44:24 +оуѕ ѕи(рат ипіх) [11439]: ѕеѕѕіоп орепеа Ғог 
иѕег гооф Бу сһгіѕ(иій=500) 


Формат сообщений по умолчанию в файле /\уаг/10о5/теззаре$ разделен на пять 
основных частей. Он определяется следующей записью в файле /еіс/гѕу5108.сопё: 
тоӣи1е(1оаа="биі1+іп:отҒі1е" Тетр1абе="К5Ү5106 Тгадіёіопа1Рі1еҒогта") 

При просмотре сообщений в файлах из каталога /маг/1ов слева направо части 
сообщений выглядят следующим образом: 
® лата и время регистрации сообщения; 
® имя компьютера, с которого пришло сообщение; 
® имя программы или службы, к которой относится сообщение; 
® номер процесса (в квадратных скобках) программы, отправляющей сообщение; 
ө 


сам текст сообщения. 
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Еще раз взгляните на приведенный фрагмент файла. Из первых двух строк 
видно, что сеть была перезапущена. Следующая строка показывает, что пользова- 
тель сһгіѕ пытался и не смог попасть на ЕТР-сервер в этой системе с компьютера 
по адресу 10.0.0.5. (Он ввел неверный пароль, и аутентификация не удалась.) 
В последней строке показано, что сНг1$ применяет команду ѕи, чтобы стать супер- 
пользователем. 

Периодически просматривая файлы меззавез и ѕесиге, вы можете отследить 
попытку взлома до того, как она будет реализована полностью. Если происходит 
чрезмерное количество попыток подключения к определенной службе, особенно если 
они исходят из систем, находящихся в Интернете, вы можете подвергнуться атаке. 


Настройка и использование узла ведения журнала 
с помощью службы гѕуѕіода 


Чтобы перенаправить файлы журнала вашего компьютера в службу гзу$1ова 
другого компьютера, необходимо внести изменения как в локальный, так и в уда- 
ленный конфигурационный файл службы г5у$105 — /еёс/гѕуѕ10ов.соп#. Станьте 
суперпользователем с помощью команды ѕи, а затем откройте файл /еес/гзу$1ов. соп+ 
в текстовом редакторе, например, уі. 

На стороне клиента. Чтобы отправить сообщения на другой компьютер (уда- 
ленный хост) вместо файла, сначала замените имя файла журнала символом @, за 
которым следует имя удаленного хоста. Например, чтобы направить выходные 
данные сообщений, поступающие в файлы журналов меззавез, зесиге и таі1106, 
на удаленный хост, добавьте строки, выделенные полужирным шрифтом, в файл 
сообщений: 


# Тов апуёһіпе (ехсере та11) о+ 1Іеме1 1пФо ог һірһег. 

# ОБоп'{ 1ор рг1уафе аиёћепёісабіоп теѕѕареѕ! 

ж. іпҒо ; таї1. попе; пемѕ . попе; аи Ирг1\ . попе; сгоп. попе /маг/1ор/теѕѕареѕ 
+ .іпҒо; таі1. попе; пемѕ . попе; аиєһргіу. попе; сгоп. попе @10рһоѕі 

# Тһе аиёһргіу Ғі1е һаѕ геѕігіс+еа ассеѕѕ. 


аиїһргіу. * /маг/1ор/ѕесиге 
аиёһргіу. * @10рһоѕі 

# ор а11 һе та11 теѕѕареѕ іп опе р1асе. 

та11.* - /маг/1ов/таі110р 
та11.* @10рһоѕі 


Теперь сообщения отправляются в службу гѕуѕ1ора, которая работает на ком- 
пьютере с именем 1овћоѕ (удаленный хост). Имя 1орћһоѕї не выбирается произ- 
вольно. Создание такого имени хоста и превращение его в псевдоним для реальной 
системы, действующей как удаленный хост, — обычное дело. Таким образом, если 
вам когда-нибудь понадобится переключить обязанности удаленного хоста на дру- 
гой компьютер, нужно будет изменить только псевдоним 1овћоѕ, не редактируя 
повторно файл зу$1ов. соп+ на каждом компьютере. 

На стороне удаленного хоста. Удаленный хост, настроенный на прием 
сообщений, должен прослушивать их на стандартных портах (514 ОПР, хотя 
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его можно настроить на прием сообщений и через порт 514 ТСР). Порядок дей- 
ствий при настройке удаленного хоста Глпих, который также запускает службу 
гѕу5ѕ106, таков. 


® Отредактируйте файл /еёс/гѕуѕ1ов. соп в системе удаленного хоста и рас- 
комментируйте строки, которые позволяют демону гѕуѕ1ова прослушивать 
удаленные сообщения журнала. Раскомментируйте первые две строки, чтобы 
включить входящие сообщения журнала ОР на порте 514 (по умолчанию), за- 
тем раскомментируйте две строки, чтобы разрешить сообщения, использующие 
протокол ТСР (также порт 514): 
тоаи1е(1оаа="ітиар") # пеед$ Фо Бе допе јиѕі опсе 
іпри+ (+уре="1тиар" рогі="514") 
тоаич1е(1Іоаа="імтёср") # пеед$ фо Бе Яопе јиѕЕ опсе 
іпри+ (+уре="імёср" рогі="514") 


® Откройте брандмауэр, чтобы разрешить отправку новых сообщений на ваш 
удаленный хост. (См. главу 25 «Защита Глпих в сети», чтобы узнать, как открыть 
определенные порты и разрешить доступ к вашей системе.) 


® Перезапустите службу гѕуѕ1ор (команда ѕегуісе гзу$105 геѕ+агї или ѕуѕёетс+1 
гезфаг{ гѕуѕ1ор.ѕегуісе). 


® Если служба запущена, вы должны увидеть, что она прослушивает подклю- 
ченные порты (ОРЮР и/или ТСР-порты 514). Выполните команду пет *а*, как 
показано далее, чтобы убедиться, что демон гѕуѕ1ова прослушивает порты ГРу4 
и ГРуб 514 для служб ОРР и ТСР: 


# пефзфаф -+ир1п | вгер 514 
їср [2] 0 0.0.0.0:514 0.090.0.0:* ІЅТЕМ 25341/г5уѕ1ора 


ср ө Ө :::514 орт ІЅТЕМ 25341/г5уѕ1ора 
иар ө 0 0.0.0.0:514 0.0.0.0: * 25341/г5уѕ1ора 
иар ө Ө :::514 Ы 25341/г5уѕ1ора 


Просмотр журналов с помощью службы Іодмаќсћ 


Служба 1ормаїсћ работает в большинстве систем Глпих, которые ведут системный 
журнал с помощью службы гѕуѕ1ов. Поскольку журналы в занятых системах со 
временем могут сильно увеличиться в размере, системному администратору может 
потребоваться много времени, чтобы просмотреть каждое сообщение во всех жур- 
налах. Чтобы запустить службу 1ормаїсћ, введите следующую команду: 


# уит іпѕ+а11 1ормаёсһ 


Служба 1овма+сһ собирает сообщения, которые могут представлять проблему, 
один раз за ночь, помещает их в сообщение и отправляет его на указанный адрес 
электронной почты. Чтобы включить службу 1ормаїсћ, нужно лишь установить 
пакет Іовма+сһ. 

Служба 1овмаїсћһ запускается из команды сгоп (Ө1овмаЄсһ), помещенной в файл 
/еєс/сгоп.ӣаі1у. Файл /еёс/1ормаёсһ/соп/1овмасһ. соп содержит локальные на- 
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стройки. Параметры по умолчанию, используемые для сбора сообщений журнала, 
устанавливаются в файл /чзг/зПаге/1овма{сН/де+аи1* .соп+/1ормаесй . соп+. 

Некоторые настройки по умолчанию определяют расположение файлов жур- 
нала (/уаг/1о), временного каталога (/маг/сасһе/1ормаёсһ) и получателя еже- 
дневного отчета на электронную почту 1овмаесй (локальный суперпользователь). 
Если вы не собираетесь входить на сервер для чтения сообщений 1овматсн, то из- 
мените параметр Ма11То в файле /еёс/1Іорма+сһ/соп#/ 1овмасй . соп: 


Ма11То = сһгіѕ@ехатр1е. сот 


Другие параметры, которые можно изменить (например, уровень детализации 
или временной диапазон для каждого отчета), находятся в файле /иѕг/ѕһаге/ 
1овмаесн/дефаи1* . соп#/1ормаїсһ. соп+. Как уже говорилось, вносите новые до- 
полнения в файл /еёс/1ормаїсһ/ сопҒ/Іовмаїсһ. соп. 

Когда служба включена (что происходит только при установке пакета 1ормаєсћ), 
вы каждую ночь будете получать сообщение на почту суперпользователя. Войдя 
в систему как суперпользователь, можете применить старую команду таі1 для 
просмотра почтового ящика суперпользователя: 

# таі1 

Неіг1оот Маі1 мегѕіоп 12.5 7/5/10. Туре ? Фог һе1р. 
"/маг/ѕроо1/таї1/ гоо": 2 теѕѕареѕ 2 пем 

>№ 1 1ормаёсһ@абс.ех Ѕип РеБ 15 04:02 45/664 "Еормаёсһ Ғог абс" 


2 Іормаїсһ@абс.ех Моп ЕеБ 16 04:02 45/664 "Еормаёсһ Ғог абс" 
& 1 
& х 


Вы будете получать сообщения от 1орма*сН на указанный адрес электронной 
почты ежедневно (в примере — в 04:02). Введите номер сообщения, которое хотите 
просмотреть, и пролистайте его с помощью клавиши Пробел или перейдите к нему 
построчно, нажимая клавишу Епќег. Введите х, чтобы выйти. 

Информация, которую вы видите, включает в себя ошибки ядра, установленные 
пакеты, ошибки аутентификации и неисправные службы. Пользователю также со- 
общается информация о задействовании дискового пространства, из чего видно, 
как заполняется хранилище. Просто взглянув на сообщение службы 1ормаёсћ, вы 
получите представление о том, атакует ли кто-то вашу систему или происходят ли 
какие-то повторяющиеся сбои. 


Проверка системных ресурсов с помощью 
функции ѕаг 


Ѕуѕіет Асїуісу Керогёег (заг) — одно из старейших средств мониторинга системы, 
созданных для ранних систем О МХ за несколько десятилетий до появления систем 
Тіпих. Сама команда может отображать на экране активность системы непрерывно 
или с заданными интервалами (каждую секунду или две). Она может отображать 
также собранные ранее данные о деятельности системы. 
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Команда заг является частью пакета ѕуѕѕёа+. При установке пакета ѕуѕѕ+аї 
и подключении службы ѕуѕѕ+аї система немедленно начинает собирать данные 
о системной активности, которые можно просмотреть позже, используя опреде- 
ленные параметры команды ѕаг: 


# Ѕуѕіетс1+ епаб1е ѕуѕѕ+а+ 
# сузфетсЕ1 ѕ+агі зу$$фа* 


Для чтения данных в файлах /уаг/1о5/за/за?? можно применять некоторые из 
следующих команд ѕаг: 


# заг -и | 1еѕ5 
Е1пих 5.3.8-200.#с30.х86 64 (Ғейогазеһоѕ+) 11/28/2019 _х86_64_ (1 СРИ) 
23:27:46 ІІМОХ ВЕЗТАКТ (1 СРО) 


11:30:05 РМ СРО %иѕег %п1се %зузфет %іомаії %ѕїеа1 %1а1е 
11:40:06 РМ а11 0.90 0.00 1.81 1.44 0.28 95.57 
А\уегаде: а11 0.90 0.00 1.81 1.44 0.28 95.57 


Параметр -и отображает загрузку процессора. По умолчанию вывод начинается 
в полночь текущего дня, а затем показывает, сколько времени обработки потребля- 
ется различными частями системы. Выходные данные продолжают показывать 
активность каждые 10 минут, пока не будет достигнуто текущее время. 

Чтобы просмотреть выходные данные активности диска, выполните команду 
заг -4. Вывод также выполняется с 10-минутными интервалами, начиная с полу- 
ночи: 


# заг -а | 1е55 
Е1пих 5.3.8-200.#с30.х86 64 (+едогаЗзенозе) 11/28/2019 _х86_64_ (1 СРЏ) 


23:27:46 ІІМОХ ВЕЗТАКТ (1 СРО) 


11:30:05 РМ рЕМ рѕ РКВ/ѕ мКВ/з агед-ѕ52 ади-ѕ2 амаі+... 
11:40:06 РМ е\8-0 49.31 5663.94 50.38 115.89 0.03 1.00 


11:40:06 РМ 4е\253-0 48.99 5664.09 7.38 115.78 0.05 0.98 
11:40:06 РМ 4е\253-1 10.84 0.01 43.34 4.00 0.04 3.29 
Ауегаде: е\8-0 49.31 5663.94 50.38 115.89 0.03 1.00 
Ауегаде: е\253-0 48.99 5664.09 7.38 115.78 0.05 0.98 
Ауегаде: йеу253-1 10.84 0.01 43.34 4.00 0.04 3.29 


Если вы хотите запускать отчеты о действиях в реальном времени, добавьте 
счетчики и временные интервалы в командную строку, как показано далее: 


# ѕаг -п ОЕУ 5 2 

Ііпих 5.3.8-200.+с30.х86_64 (+едогаЗ@позе) 11/28/2019 _х86_64_ (1 СРЏ) 
11:19:36 РМ ТЕАСЕ гхрск/з *%хрскК/з гхКВ/з хКВ/з гхстр/з Ёхстр/5... 
11:19:41 РМ 1о 5.42 5.42 1.06 1.06 0.00 0.990... 
11:19:41 РМ еп$3 0.00 0.00 0.00 0.00 0.00 0.090... 
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Ауегаве: ТЕАСЕ гхрск/з Ёхрск/5 гхКВ/з хКВ/ гхстр/з Ёхстр/ѕ гхтс$Е/5 


А\уегабе: 1о 7:21 7.21 1.42 1.42 0.00 0.00 0.00 
А\уегабе: епѕ3 0.00 0.00 0.00 0.00 0.00 0.00 0.00 
Аүеғгаре: м1ап@о 4.70 4.00 4.81 0.63 0.00 0.00 0.00 
А\уегабе: рапе 0.00 0.00 0.00 0.00 0.00 0.00 0.00 
А\уегабе: фип@ 3.70 2.90 4.42 0.19 0.00 0.00 0.00 


С помощью параметра -п реу в примере показана активность различных сетевых 
интерфейсов системы. Теперь можно увидеть, сколько пакетов и сколько килобайт 
данных было передано и получено. В этом примере выборка данных производилась 
каждые 5 секунд и повторялась дважды. 

Дополнительные сведения о том, как можно собирать и отображать данные ѕаг, 
см. на справочных страницах ѕаг, ѕайс, ѕа1 и ѕа2. 


Проверка пространства в системе 


Хотя служба Іовмаќсћ ежедневно отображает информацию об использовании про- 
странства на системных дисках, команды ағ и ди позволяют сразу увидеть, какой 
объем диска доступен. В следующих разделах эти команды будут описаны. 


Отображен ие пространства в системе 
с помощью команды 4 
Вы можете отобразить объем, доступный в файловых системах, с помощью коман- 


ды аҒ#. Чтобы увидеть свободное место во всех смонтированных файловых системах 
на компьютере Глпих, введите команду ағ без каких-либо параметров: 


$ ағ 

Рі1еѕуѕёет 1К-61осКк$ Оѕеа Ауа11аб1е Оѕе% Моип+еа оп 
/аеу/ѕӣаз 30645460 2958356 26130408 11% / 
/аеу/ѕӣа2 46668 8340 35919 19% /роої 


В примере показано пространство, доступное в разделах жесткого диска, смон- 
тированных в каталогах /(гоо*) (/деу/ѕа1) и /Боо{ (/4еу/з4а2). Дисковое про- 
странство отображается в блоках размером 1 Кбайт. Чтобы отобразить выходные 
данные в более удобочитаемой форме, используйте параметр -и: 


$ ағ -һ 
Рі1еѕуѕет 517е Ц5е4 Амаії1 Ц5е% Моџип+еа оп 
/аеу/ѕӣаз 296 2.96 246 11% / 


/ае\у/$да2. 46м 8.2М 25М 19% /оо+ 
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При вводе команды а+ -Н выходные данные отображаются в виде более удобного 
списка с данными в мегабайтах или гигабайтах. Другие параметры команды 4+ поз- 
воляют сделать следующее. 


® Вывести только файловые системы определенного типа (-* журе). 


® Исключить файловые системы определенного типа (-х ёуре). Например, введи- 
те 44-х {тр -х аеутр+ѕ, чтобы исключить временные типы файловых систем, 
ограничивая вывод файловыми системами, представляющими реальные области 
хранения. 


® Включить в вывод файловые системы, в которых нет места, такие как /ргос 
и /аеу/рёѕ (-а). 


® Перечислить только доступные и используемые индексные узлы (-1). 


® Отобразить пространство диска в определенных размерах блоков (--Б1оск- 
$12е=#). 


Проверка использования диска 
с помощью команды аи 


Чтобы узнать, сколько места занимает конкретный каталог (и его подкаталоги), 
возьмите команду аи. Без каких-либо параметров команда аи перечисляет все 
каталоги ниже текущего каталога, а также объем, занимаемый каждым из них. 
И вконце команда ди выводит общее дисковое пространство, используемое в этой 
структуре каталогов. 

Команда ао — хороший способ проверить, сколько места используется кон- 
кретным пользователем (ди /һоте/јаке) или определенным разделом файловой 
системы (ди /маг). 

По умолчанию пространство диска отображается в блоках размером 1 Кбайт. 
Чтобы сделать вывод более удобочитаемым (в килобайтах, мегабайтах и гигабай- 
тах), применяйте параметр -Н следующим образом: 


$ аи -п /һоте/јаке 


114К /ћоте/јаке/һЕера/ѕ+и+ғғ 
234К /һоте/јаке/һ+ё%ра 

137К /һоте/јаке/ииср/аа+а 
701к /һоте/јаке/ииср 

1.0М /һоте/ јаке 


Выходные данные отображают пространство диска, занятое каждым катало- 
гом домашнего каталога пользователя с именем јаке (/һоте/ јаке). Потребляемое 
пространство диска отображается в килобайтах (к) и мегабайтах (м). Общее про- 
странство, занимаемое каталогом /һоте/ јаке, отображается в последней строке. 
Добавьте параметр -$, чтобы увидеть общее пространство диска, занятое каталогом 
и его подкаталогами. 
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Отображение использования диска 
с помощью команды Япа 


Команда +Ғіпа — это отличный способ поиска файлов на жестком диске с помощью 
различных критериев. Команда позволяет увидеть, где можно восстановить дис- 
ковое пространство, найдя файлы, которые превышают определенный размер или 
созданы конкретным человеком. 


ПРИМЕЧАНИЕ 


Вы должны быть суперпользователем, чтобы выполнить эту команду максимально эффективно, если только 
не проверяете личные файлы. Если вы им не являетесь, то не сможете проверять множество мест в файловой 
системе. Обычные пользователи чаще всего могут проверять только свои домашние каталоги. 


В следующем примере команда +1п4 выполняет поиск в корневой файловой 
системе (/) любых файлов, принадлежащих пользователю с именем јаке (-иѕег 
јаке), и выводит их имена. Выходные данные команды #іпа организованы в виде 
длинного списка, отсортированного по размеру (1$ -145). Эти данные отправля- 
ются в файл /+тр/јаке. При просмотре этого файла (например, 1еѕ5/+тр/јаке) вы 
найдете все файлы, принадлежащие пользователю јаке, перечисленные по размеру. 
Так выглядит командная строка: 


# Ғіпа / -х4еу -иѕег јаке -ргіпё | хагвѕ 15 -145 > /+тр/јаке 


СОВЕТ 


Параметр -хӣеу запрещает поиск в файловых системах, отличных от выбранной. Это позволяет не выводить не- 
нужную информацию из файловой системы /ргос. Это может также застраховать большие удаленно смонтирован- 
ные файловые системы от поиска в них. 


Вот еще один пример, только в этом случае вместо поиска файлов пользователя 
мы ищем файлы размером более 100 Кбайт (-$12е +100М): 


# Ғіпа / -хӢеу -ѕіғе +100М | хагё$ 15 -145 > /+тр/ѕіғе 
Вы можете сэкономить много места на диске, просто удалив часть самых боль- 


ших ненужных файлов. В примере видно, что большие файлы сортируются по 
размеру в файле /+тр/ѕіхе. 


Управление серверами на предприятии 


Большая часть процесса настройки сервера, описанного в этой книге, относится 
к установке системы вручную и работе непосредственно на удаленных хостах 
(компьютерах). Необходимость настраивать каждый хост индивидуально была бы 
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слишком неэффективной для современных центров обработки данных, состоящих 
из десятков, сотен или даже тысяч компьютеров. Чтобы сделать настройку серверов 
Тіпих в крупном дата-центре более эффективной, используют следующие методы. 


® Автоматическое развертывание. Один из способов установки систем, не требу- 
ющий работы вручную, — это загрузка РХЕ. Настроив РХЕ-сервер и загрузив 
компьютер в этой сети с помощью карты сетевого интерфейса с поддержкой 
РХЕ, можно начать полную установку этой системы, просто загрузив ее. После 
завершения установки система может перезагрузиться для запуска из установ- 
ленной системы. 


е Универсальные хост-системы. Сделав хост-системы максимально универсаль- 
ными, можно значительно упростить индивидуальные установку, настройку 
и обновление. Процесс автоматизируется на уровнях, где базовая система уста- 
навливается с помощью загрузки РХЕ, конфигурация выполняется с помощью 
таких функций, как с1оџа-іпё (средство настройки виртуальной машины), 
и приложения используют собственные зависимости при запуске. На уровне 
приложений это можно сделать, запустив приложение из виртуальной машины 
или контейнера. После завершения работы приложения его можно отключить, 
не оставляя зависимое программное обеспечение на хосте. 


® Разделение систем управления и рабочих систем. Вместо индивидуального 
управления хост-системами отдельная платформа может управлять большими 
наборами систем. Для этого платформа, например ОрепЅѓаск или Ореп М, ис- 
пользует узлы управления (их также называют компонентами сои! р[апе или 
главными узлами), управляющие машинами, на которых фактически выполняется 
рабочая нагрузка (иногда их называют рабочими узлами или просто узлами). Такое 
разделение задач по типу хоста позволяет развертывать приложения на любой 
доступной рабочей системе, которая отвечает потребностям приложения (на- 
пример, имеет нужное количество доступной памяти или ресурсов процессора). 


Имейте в виду, что понимание того, как настраиваются отдельные приложения 
и запускаются службы, по-прежнему является основой для этих более продвинутых 
способов управления ресурсами центра обработки данных. Подробное описание 
корпоративных средств развертывания и мониторинга выходит за рамки книги. 
Обратитесь к части УІ «Работа с облачными вычислениями», чтобы получить пред- 
ставление о том, как различные облачные платформы на базе Ііпих справляются 
с этими проблемами. 


Резюме 


В системах пих доступно множество различных типов серверов, однако основная 

процедура установки и настройки сервера, по существу, одинакова для всех. 
Обычный список действий заключается в установке, настройке, запуске, защите 

и мониторинге серверов. Основные задачи, реализуемые всеми серверами, — это 
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использование сетевых инструментов (в частности, инструментов 55Н) для входа 
в систему, копирование файлов или выполнение удаленных команд. 

Поскольку администратор не может постоянно наблюдать за серверами, ин- 
струменты для сбора данных и последующего просмотра журнала очень важны 
при администрировании серверов Глпих. Функцию гѕуѕ106 можно задействовать 
для локальных и удаленных журналов. Функция ѕаг позволяет собрать текущие 
данные или воспроизвести данные, собранные ранее с интервалом 10 минут. 
Веб-интерфейс СосКри позволяет наблюдать за процессором, памятью, диском 
и сетевой активностью в режиме реального времени. Чтобы следить за простран- 
ством диска, используйте команды ағ и ди. 

Навыки, описанные в этой главе, позволяют создать основу для управления 
системой на предприятии в будущем. Они полезны, однако, чтобы управлять мно- 
жеством систем Глпих одновременно, необходимо расширить их круг с помощью 
автоматизированных средств развертывания и мониторинга, как описано в разделе 
об облачных вычислениях в этой книге. 

Можно легко настроить сеть для доступа к серверам по умолчанию, однако 
более сложная ее конфигурация требует знания файлов конфигурации сети и свя- 
занных с ними инструментов. В следующей главе описывается, как настроить 
и администрировать сетевую работу в пих. 


Упражнения 


Упражнения в этом разделе охватывают основные инструменты для подклю- 
чения к серверам Глпих и наблюдения за ними. Как обычно, их можно решить 
несколькими способами. Поэтому не волнуйтесь, если выполните упражнения 
не так, как показано в ответах к ним, главное — получить те же результаты. Если 
затрудняетесь с решением заданий, посмотрите ответы к упражнениям, приведен- 
ные в приложении Б. 

Некоторые упражнения предполагают, что у вас есть вторая доступная система 
Тіпих, в которую вы можете войти и попробовать различные команды. Нужно убе- 
диться, что во второй системе служба ѕѕћа запущена, брандмауэр открыт и команда 
ѕѕһ разрешена в учетной записи пользователя, в которую нужно войти (суперполь- 
зователь часто блокируется службой ѕѕһћа). 

Если у вас есть только одна система Гпих, создайте дополнительную учетную 
запись пользователя и имитируйте связь с другой системой, подключившись вме- 
сто этого к имени 1оса11о5*, как показано в этом примере: 


# изегада јое 
# раѕѕма јое 
# 55! јое@1оса1һоѕї 


1. С помощью команды $$1 войдите на другой компьютер (или локальный ком- 
пьютер), используя любую учетную запись, к которой у вас есть доступ. Введите 
пароль при появлении приглашения командной строки. 
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10. 


Применив функцию удаленного выполнения команд с помощью команды $51, 
отобразите содержимое удаленного файла /еёс/ѕуѕбет-ге1еаѕе в локальной 
системе. 


Введите команду $$1, чтобы применить переадресацию Х11 для отображения 
окна реӣі+ в своей локальной системе, а затем сохраните файл в домашнем ка- 
талоге удаленного пользователя. 


Рекурсивно скопируйте все файлы из каталога /иѕг/ѕһаге/ зе11пих в удаленной 
системе в каталог /ётр в своей локальной системе таким образом, чтобы все 
время изменения файлов обновилось до времени в локальной системе после 
копирования. 


Рекурсивно скопируйте все файлы из каталога /иѕг/ ѕһаге/1Іовмаёсһ удаленной 
системы в каталог /&тр локальной системы таким образом, чтобы все время из- 
менения файлов из удаленной системы сохранялось в локальной системе. 


Создайте пару «открытый/закрытый ключ», чтобы использовать 55Н-соединение 
(без ключевой фразы на ключе), скопируйте файл открытого ключа в учетную 
запись удаленного пользователя с помощью команды 55ћ- сору-іа и примените 
аутентификацию на основе ключа для входа в эту учетную запись пользователя 
так, чтобы не требовалось вводить пароль. 


Создайте запись в файле /еїс/гѕуѕ108.соп#, который хранит все сообщения 
аутентификации (аџёһргіу) информационного уровня и выше в файле с именем 
/маг/1ов/туаић. Наблюдайте за файлом с одного терминала по мере поступле- 
ния в него данных, а с другого терминала попытайтесь войти в свою локальную 
систему через $51 как пользователь с неверным паролем. 


Примените команду ди, чтобы определить самые большие структуры каталогов 
в каталоге /иѕг/ ѕһаге, отсортировать их от самых больших к самым маленьким 
и перечислить десять самых больших каталогов. 


Задействуйте команду а+, чтобы отобразить пространство, которое используется 
и доступно для всех файловых систем, подключенных в данный момент к ло- 
кальной системе, но исключите любые файловые системы +тр$ или деутрё5. 


Найдите в каталоге /иѕг все файлы размером более 10 Мбайт. 


Администрирование 
сети 


В этой главе 


ш Автоматическое подключение Шпих к сети. 


ш Просто подключение к сети с помощью 
программы М№МебумогкМападег. 


ш Настройка сети из командной строки. 
ш Работа с файлами конфигурации сети. 


ш Настройка маршрутизации, ОНСР, ”№5 и других 
функций сети для предприятия. 


Подключение настольного компьютера или ноутбука к сети, особенно к Интерне- 
ту, стало настолько простым делом, что я решил отложить главу, описывающую 
весь процесс работы сети в пах, до этого момента. В зависимости от того, какой 
сетевой интерфейс доступен, проводной или беспроводной, вы можете подключить 
Еедога, КНЕІ, ОБипёи или другую систему Піпих к Интернету таким образом. 


® Проводное соединение. Если в вашем доме или офисе есть проводной порт 
Ећегпеё, который обеспечивает доступ в Интернет, и если его можно под- 
соединить к компьютеру, используйте кабель Есћегпе для подключения 
этих двух портов. После включения компьютера загрузите Глпих и войдите 
в систему. Нажмите на значок МеђћмогКМападег на рабочем столе, который пока- 
зывает, что вы подключены к Интернету, или позволяет подключиться одним 
щелчком кнопкой мыши. 


ә Беспроводное соединение. Для беспроводного подключения компьютера 
с пих войдите в систему и щелкните на значке №емюоКМападег на рабочем столе. 
В появившемся списке беспроводных сетей выберите нужную и при появле- 
нии запроса введите нужный пароль. Каждый раз при входе в систему с этого 
компьютера из одного и того же места он будет автоматически подключаться 
к выбранной беспроводной сети. 
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Этой информации достаточно, если вас устраивает один из этих вариантов и вы 
не интересуетесь тем, как работает сеть в Глпих. Но что делать, если ваша система 
Тіпих не подключается автоматически к Интернету? Что делать, если вы хотите 
соединить рабочий компьютер с частной сетью на работе (по УРМ)? И что делать, 
если вы хотите заблокировать сетевые настройки на своем сервере или настроить 
систему Глпих для работы в качестве маршрутизатора? 

В этой главе темы охватывают работу сети для настольных компьютеров, сер- 
веров и корпоративных вычислений. Общий подход к настройке сети в этих трех 
типах систем [іпих заключается в следующем. 


® Сеть для компьютеров/ноутбуков. На настольных компьютерах или ноутбуках 
программа Меб\уоткМапазег запускается по умолчанию и позволяет управлять 
сетевыми интерфейсами. С помощью этой программы вы также можете авто- 
матически принимать адрес сервера и информацию о нем, чтобы подключиться 
к Интернету. Эти сведения можно задать и вручную. Вы можете настроить 
прокси-серверы и виртуальные частные сетевые подключения, позволяющие 
компьютеру работать от брандмауэра организации или подключаться через 
него соответственно. 


® Сеть для серверов. Изначально программа МебуогкМапавег предназначалась 
для работы на настольных компьютерах и ноутбуках, однако сейчас ее активно 
используют и для настройки сети на серверах. В программу теперь входят функ- 
ции, полезные для настройки серверов, такие как соединение каналов Ећегпеѓ 
и настройка псевдонимов. 


® Сеть на предприятии. Тема настройки сети на крупном предприятии может 
занять несколько томов. Однако я расскажу об основных сетевых технологиях, 
таких как ОНСР- и О№-серверы, которые позволяют настольным системам 
автоматически подключаться к Интернету и находить системы на основе имен, 
а не только ТР-адресов. 


Настройка сети настольных компьютеров 


Независимо от того, подключаетесь ли вы к Интернету в системе Глпих или 
Уірао%жѕ, через смартфон или любое другое сетевое устройство, чтобы соедине- 
ние заработало, необходимо соблюсти определенные условия. Компьютер должен 
иметь сетевой интерфейс (проводной или беспроводной), ІР-адрес, назначенный 
ОМ 5-сервер и маршрут к Интернету (идентифицируемый устройством шлюза). 

Прежде чем я расскажу о том, как изменить конфигурацию сети в Піпих, рас- 
смотрим, что происходит, когда [пах настроен на автоматическое подключение 
к Интернету с помощью программы Меб\уогкМапазег. 


ө Активация сетевых интерфейсов. Утилита МебуогкМапазег смотрит, какие 
сетевые интерфейсы (проводные или беспроводные) настроены. По умолча- 
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нию внешние интерфейсы обычно запускаются автоматически с помощью 
службы ОНСР, хотя статические имена и адреса можно добавить и во время 
установки. 


Запрос в службу ОНСР. Система Шіпих действует как ОНСР-клиент и от- 
правляет запрос в службу ОНСР для каждого подключенного интерфейса. 
Она использует МАС-адрес сетевого интерфейса, идентифицируя себя в за- 
просе. 


Ответ от ОНСР-сервера. ОНСР-сервер, работающий на беспроводном марш- 
рутизаторе, кабельном модеме или другом устройстве, обеспечивающем доступ 
в Интернет, отвечает на запрос ОНСР-клиента и предоставляет различные типы 
информации. Эта информация может содержать следующее. 


= Ір-адрес. ОНСР-сервер содержит диапазон ІР-адресов, которые он может 
выдать любой системе в сети после запроса. В более безопасных средах или 
в случаях, когда необходимо обеспечить конкретные компьютеры конкрет- 
ными адресами, ОНСР-сервер предоставляет определенный ІР-адрес для 
запросов с определенных МАС-адресов. (МАС-адреса должны быть уни- 
кальными среди всех карт сетевого интерфейса.) 


= Маска подсети. Когда ОНСР-клиенту назначается ІР-адрес, сопровожда- 
ющая маска подсети сообщает этому клиенту, какая часть ІР-адреса иденти- 
фицирует работу подсети, а какая — хост. Например, ІР-адрес 192.168.0.100 
и маска подсети 255.255.255.0 сообщают клиенту, что сеть — это 192.168.0, 
а хост — это 100. 


= Срок аренды. Когда ОНСР-клиенту (в системе Глпих) выделяется ІР-адрес, 
ему назначается время аренды. Клиент не владеет этим адресом, он должен 
арендовать его снова и, когда истечет время, запросить еще раз после пере- 
запуска сетевого интерфейса. Обычно ОНСР-сервер запоминает клиента 
и назначает тот же адрес, когда система снова запускается или просит про- 
длить аренду. Время аренды по умолчанию обычно составляет 86 400 секунд 
(24 часа) для ІРУ4-адресов. Для более избыточных ГРуб-адресов аренда по 
умолчанию назначается на 2 592 000 секунд (30 дней). 


= Сервер доменных имен. Компьютеры думают цифрами (например, ІР- 
адресами, такими как 192.168.0.100), а люди склонны думать именами (на- 
пример, именем хоста ммм.ехатріе.сот), поэтому компьютерам необходимо 
уметь переводить имена хостов в ІР-адреса, а иногда и наоборот. Система 
доменных имен (Оотаіп Мате Ѕуѕёќет, О№5) была разработана, чтобы ре- 
шить эту проблему, предоставляя возможность сопоставления имен и адре- 
сов в Интернете с помощью иерархии серверов. Расположение одного или 
нескольких О №-серверов (чаще всего двух или трех) обычно назначается 
ОНСР-клиенту с хоста ОНСР. 


= Шлюз по умолчанию. Интернет обладает одним уникальным пространством 
имен, но на самом деле он организован как ряд взаимосвязанных подсетей. 
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Чтобы сетевой запрос покинул локальную сеть, он должен знать, какой 
узел в сети обеспечивает маршрут к адресам за ее пределами. ОНСР-сервер 
обычно предоставляет ГР-адрес маршрута по умолчанию. Такой маршрут 
направляет данные к конечному пункту соединения, используя сетевые 
интерфейсы как в локальной подсети, так и в конечной. 


" Другая информация. ОНСР-сервер можно настроить так, чтобы он предо- 
ставлял все виды информации и помощь ОНСР-клиенту. Например, он 
может указать местоположение МТР-сервера (для синхронизации вре- 
мени между клиентами), сервера шрифтов (для получения шрифтов для 
Х-дисплея), ІКС-сервера (для онлайн-чатов) или сервера печати (для опре- 
деления доступных принтеров). 


е Обновление параметров локальной сети. После установки настроек для 
ОНСР-сервера они соответствующим образом реализуются в локальной си- 
стеме Глпих. Например, ІР-адрес задается в сетевом интерфейсе, записи ОМ5- 
сервера добавляются в локальный файл /еёс/геѕо1у. соп+ (Меб\уогкМапавег), 
а время аренды хранится в локальной системе, чтобы она смогла запросить 
продление аренды. 


Все только что описанные действия обычно происходят без вмешательства 
пользователя, нужно только включить систему Глпих и войти в нее. Теперь предпо- 
ложим, что вы хотите иметь возможность проверить свои сетевые интерфейсы или 
изменить некоторые из перечисленных настроек. Можете сделать это с помощью 
инструментов, описанных далее. 


Проверка сетевых интерфейсов 


В Ипах доступны как графические, так и командные инструменты для просмотра 
информации о сетевых интерфейсах. Для начала рассмотрим инструменты рабо- 
чего стола — программу МебхогКМапарег и веб-интерфейс Соскри. 


Проверка сети с помощью программы Ме&могКМападег 


Самый простой способ проверить базовые настройки сетевого интерфейса — от- 
крыть раскрывающееся меню в правом верхнем углу рабочего стола и выбрать 
активный сетевой интерфейс. На рис. 14.1 показаны настройки \!1-Е! для активной 
сети на рабочем столе Еедога СМОМЕ З. 

Как видите, интерфейсу назначены и ГРуУ4-, и ГРуб-адреса. ІР-адрес 192.168.1.254 
включает в себя как службу О№, так и маршрут к внешним сетям. 

Чтобы больше узнать о том, как настроена ваша система Глпих, перейдите на 
одну из вкладок в верхней части окна. Например, на рис. 14.2 показана вкладка 
бесиу (Безопасность), на которой можно выбрать тип защищенного подключения 
к сети и установить пароль для подключения к ней. 
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Рис. 14.1. Проверка сетевых интерфейсов с помощью программы М№МеёмогкМападег 
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Рис. 14.2. Просмотр сетевых настроек с помощью программы М№еёбмогкМападег 


Проверка сети с помощью веб-интерфейса СоскрЁ 


Подключив веб-интерфейс Соскри, вы сможете просматривать и изменять инфор- 
мацию о своих сетевых интерфейсах через браузер. В локальной системе в браузере 
введите 1оса1Но$+ : 9090 /пефмогк, чтобы перейти непосредственно на страницу 
Меблогкіпо (Сеть). На рис. 14.3 приведен пример окна Соскрк. 
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Рис. 14.3. Просмотр и изменение сетевых настроек из веб-интерфейса Соскріє 


В разделе М№еђћмогкіпо (Сеть) показана информация обо всех ваших сетевых ин- 
терфейсах сразу. В данном случае представлены три сетевых интерфейса: м1р25@ 
(активный беспроводной интерфейс), епр4$0 (неактивный проводной интерфейс) 
и уігбее (неактивный интерфейс в сети, подключенный к любым виртуальным 
машинам, работающим в локальной системе). 

В верхней части раздела Ме\могКтд (Сеть) вы можете увидеть данные, которые 
принимаются (Кесемпа (Прием)) и отправляются (Ѕепаіпо (Отправка)) в локальной 
системе. Выберите сетевой интерфейс, чтобы увидеть страницу, отображающую 
действия для этого конкретного интерфейса. 

Выберите раздел Ргемиа! (Брандмауэр), чтобы увидеть список служб, разрешен- 
ных в системе. Например, на рис. 14.4 показано, что порты ОРЮР открыты для трех 
служб: клиента ОНСРуб, многоадресного О№Ѕ и клиента Ѕатђа. Клиент ОНСРуб 
позволяет системе получать ТРуб-адрес из сети. Многоадресные ОМ№Ѕ-службы 
и клиентские службы ЅатђБа позволяют автоматически определять принтеры, об- 
щие файловые системы и ресурсы, а также различные устройства. 

Единственная активная служба ТСР в примере — это $51. При активной службе 
ѕѕһ (ТСР-порт 22) служба $$па, запущенная в локальной системе, позволяет уда- 
ленным пользователям войти в вашу локальную систему. 

Тот факт, что эти порты открыты, не обязательно означает, что службы работа- 
ют. Но если они запущены, межсетевой экран (брандмауэр) компьютера разрешит 
доступ к ним. 

Более продвинутые функции раздела Мемогкта (Сеть) в СоскрЁ позволяют 
добавлять связи, команды, мосты и УГАМ к вашим локальным сетевым интер- 
фейсам. 
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Ө гедогаз0 х + х 


=> сё © | & мир: Медога30:9090/пеймиок/йгемиз оп хумо # 


ГЕООКА М/ОККЅТАТІОМ ЕРІТІОМ 


Е геаогазо Мено › Агемаїї 
Агема! 
АПомед Ѕегуісеѕ 
Ѕегисе ТСР ЧОР 

> (| ОНСРУб Сеп 546 
> Миса: ОМ5 (тОН5) 5353 а 
> ЗатьБа СЁепе 137, 138 а 
> 55н 22 


Рис. 14.4. Просмотр служб, доступных через межсетевой экран из веб-интерфейса Соскріё 


Проверка сети из командной строки 


Чтобы подробнее узнать о сетевых интерфейсах, попробуйте выполнить несколько 
команд. Существуют команды, которые могут отобразить информацию о сетевых 
интерфейсах, маршрутах, хостах и трафике в сети. 

Просмотр сетевых интерфейсов. Чтобы просмотреть информацию о каждом 
сетевом интерфейсе в локальной системе Піпих, введите следующее: 


# ір аааг ѕһом 
1: 10: <1ООРВАСК,ОР,ГОМЕК ОР» шеи 65536 дйіѕс подиече 
$фафе ОМКМОММ вгоир ЯеҒаи1+ а1еп 1000 
1іпк/1оорбаск 900:00:00:00:00:00 Бга 90:00:00:00:00:00 
іпеё 127.0.0.1/8 ѕсоре Поз+ 1о 
уа1іа 1+ Ғогемег ргеҒеггеа 1+ Фогеуег 
іпеёб ::1/128 ѕсоре һоѕ 
\а11а_1+Е Ғогемег ргеРеггед_1+Е Фогеуег 
2: епр450: <МО-САВВТЕК ‚ ВКОАБСАЗТ , МИЕТТСА$Т ‚ УР> шеи 1500 
дааіѕс #д сойе1 зфафе ООММ вгоир Яе+Ғаи1+ д1еп 1000 
1іпк/еЁһег 30:85:а9:04:96:49 Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ: ҒҒ 
3: м1р2$0: <ВКОАОСАЗТ ‚,МИЕТТСАЗТ ‚УР, ЕОМЕВ_УР> тфи 1500 
991$с ма зфафе ОР ргоир аефаи14 д1еп 1000 
1іпк/еһег ед:@6:е6:83:ас:с7 Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ: ҒҒ 
1пе{ 192.168.1.83/24 бга 192.168.1.255 ѕсоре р1оба1 
аупатіс поргеҒіхгоиёе м1р250 
\а11а_1++ 787385ес ргеҒеггеа 1ІғЕ 787385ес 
іпеёб 2600:1700:722:а10::489/128 ѕсоре р1ора1 Яупатіс 
поргеҒіхгои+е 
\а11а_1++ 55295ес ргеҒеггеа І 52295ес 


394 Часть М • Администрирование серверов в Шпих 


іпеёб Ғе80: :25++:8129:7516:23е3/64 ѕсоре 1іпк поргеҒіхгои+е 
\а11а_1+Е Ғогемег ргеҒеггеа 1+ Фогеуег 
4: уігргё: <М№О-САККІЕК, ВКОАРсСАЅТ,МОІТІСАЅТ, ОР» шеи 1500 
ддаіѕс подиеие ѕ©аёе РромМ вгоир еғҒаи1+ д1еп 1000 
1іпк/еһе” 52:54:00:0с:69:9а Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ: ҒҒ 
іпе 192.168.122.1/24 бга 192.168.122.255 ѕсоре р1ора1 \1гЬг@ 
\а11а_1+Е Ғогемег ргеҒеггеа 1+ Фогеуег 


Команда ір адаг ѕһом выводит информацию о сетевых интерфейсах, в данном 
случае с ноутбука под управлением системы Еейога 30. 

Запись 10 в первой строке вывода показывает кольцевой интерфейс, который 
используется для подключения сетевых команд, выполняемых в локальной си- 
стеме, к самой локальной системе. ІР-адрес для локального хоста — это 127.0.0.1/8 
(/8 — обозначение бесклассовой адресации СТОК, указывающее, что 127.0 — это но- 
мер сети, а 0.1 — номер хоста). Добавьте параметр -$ (1р-$ аа4г Ном), чтобы увидеть 
статистику пакетных передач и ошибок, связанных с каждым интерфейсом. 

В этом случае проводной интерфейс Еегпей (епр45@) отключен (нет кабеля), 
но беспроводной интерфейс включен (м1р250). МАС-адрес в беспроводном интер- 
фейсе (м1р2$0) — это е0:06:е6:83:ас:с7 и интернет-адрес (ТРу4) — это 192.168.1.8. 
ТРуб-адрес также включен. 

Более старые версии Глпих применяются для назначения общих имен сетевых 
интерфейсов, таких как еһе и м1апб. Теперь интерфейсы называются по их рас- 
положению на шине компьютера. Например, первый порт на сетевой карте, раз- 
мещенной на третьей шине РСІ для системы ЕеЯога, называется рзр1. Первым 
встроенным портом Еегпеф будет т1. Бывает, что беспроводные интерфейсы 
используют имя беспроводной сети в качестве имени устройства. 

Другая популярная команда для просмотра информации о сетевом интерфей- 
се — іғсопғів. По умолчанию она отображает ту же информацию, что и команда 
ір адаг, а еще, тоже по умолчанию, — количество пакетов, принятых (ВХ) и пере- 
данных (ТХ), а также количество данных, любые ошибки или потери пакетов: 


# іҒсопҒір м1р2$0 
м1р2$0: #1арѕ=4163<0Р , ВКОАБСА$Т , ВУММТМС , МОЕТІСАЅТ> шЕи 1500 
1пе{ 192.168.1.83 пефта$К 255.255.255.0 
Ьгоааса$* 192.168.1.255 
1пеЕ6 2600:1700:722:а10:655а: саб: 7904: бааб 
рге{1х1еп 64 ѕсореіа ӨхӨ<р1ора1> 
1пеЕ6 +е80: :25++:8129:7516:23е3 
ргеҒіх1еп 64 ѕсореіа 0х20<1іпк> 
1пеЕ6 2600:1700:722:а10::489 
ргеҒіхІеп 128 ѕсореіа ӨхӨ<р1ора1> 
еһег ед:06:е6:83:ас:с7 іхдиџеие1еп 1000 (Е+һегпе+) 
ВХ раскеёѕ 208402 Букез 250962570 (239.3 МіВ) 
ВХ еггог$ @ Ягорреа 4 оуеггипѕ @ Ғгате @ 
ТХ раскеёѕ 113589 Буёеѕ 13240384 (12.6 МіВ) 
ТХ еггог$ @ агорреЯ @ оуеггипѕ 9 саггіег Ө со111іѕіопѕ ө 
Сһескіпв соппес+тіуіёу Фо гетофе ѕуѕбетѕ 
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Чтобы убедиться, что вы можете связаться с системами, доступными в сети, 
используйте команду р1пв. Она отправляет специальные пакеты в удаленную си- 
стему, ожидая от них ответа, например: 


$ ріпе һоѕ+1 

РТМб һоѕ&1 (192.168.1.15 ) 56(84) буёеѕ оф Яаа. 

64 Буфез Ғгот һоѕ+1 (192.168.1.15 ): істр ѕед=1 ++1=64 +іте=0.062 тѕ 
64 Буфез Ғгот һоѕ+1 (192.168.1.15 ): істр ѕед=2 1+1=64 +іте=0.044 тѕ 
ЗС 

--- һоѕ1 ріпе $фа{1$%1с$ --- 

2 раскеїѕ +гапзм1+еа, 2 гесеімеа, 0% раскеї 1055, +іте 1822т5 

гЁ міп/аур/тах/таеу = 0.044/0.053/0.062/0.009 тѕ 


Команда ріпе в примере непрерывно пингует хост с именем һћоѕ+1. После не- 
скольких пингов нажмите сочетание клавиш Сії+С, чтобы завершить процесс, 
и в последних нескольких строках вывода будет показано, сколько запросов 
команде удалось выполнить. 

Можно было бы использовать и ІР-адрес (в данном случае 192.168.1.15), 
чтобы проверить, есть ли возможность связаться с системой. Однако имя хоста 
дает вам дополнительное преимущество: вы знаете, что перевод этого имени 
в ІР-адрес (выполняется ОМ5$-сервером или файлом локального хоста) выполнен 
и работает правильно. Однако в этом случае хост һоѕ?1 появится в локальном 
файле /еёс/һоѕ+ѕ. 

Проверка информации о маршруте. Маршрутизация — это следующий пункт, 
который можно проверить при настройке сетевых интерфейсов. В следующих при- 
мерах показано, как применить для этого команды ір и гоиќе: 


# ір гоиёе ѕһом 

аеҒаи1+ уіа 192.168.122.1 еу епѕ3 ргофо аһср тегіс 20100 
192.168.122.0/24 еу еп$3 ргофо Кегпе1 ѕсоре 11пК ѕгс 192.168.122.194 
тефг1с 100 


В примере команда ір гоиее Пом показывает, что адрес 192.168.122.1 обеспе- 
чивает маршрут к хосту из виртуальной машины КНЕТ 8 по сетевому интерфейсу 
еп53. Соединение с любым адресом в диапазоне 192.168.122.0/24 от виртуальной 
машины (192.168.122.194) проходит через этот интерфейс. Команда гои+е предо- 
ставляет аналогичную информацию: 


# гоифе 

Кегпе1 ТР гои+іпе +аБ1е 

Реѕ+іпабіоп ба+емау бепта$К Е1арѕ Мефг1с КеЕ Оѕе Т+Фасе 
дефаи1+ һотерог+а1ї 6.0.0.0 0С 6009 ө 9 м1р250 
192.168.1.0 0.0.0.0 255.255.255.0 ЦП 600 [2] Ө м1р250 
192.168.122.0 0.0.0.0 255.255.255.0 ЦП ө [2] Ө уігЬге 


Вывод таблицы маршрутизации осуществляется из системы Еедога с одним ак- 
тивным внешним сетевым интерфейсом. Карта беспроводного сетевого интерфейса 
находится на слоте РСІ2, порт 1 (м1р2). 
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Любые пакеты, предназначенные для сети 192.168.1, используют карту сетевого 
интерфейса м1р2. Пакеты, предназначенные для любого другого соединения, пере- 
сылаются в систему шлюза по адресу 192.168.1.0. Эта система представляет собой 
маршрутизатор для Интернета (в данном случае мой). Вот так выглядит более 
сложная таблица маршрутизации: 


# гоите 

Кегпе1 ТР гои1п= фаБ1е 

реѕёіпаіоп  бафемау бепта$К Е1аё5 Мефг1с Веф Ц5е Т+асе 
аеҒаи1+ вабемау 0.0.0.0 0б 600 е Ө м1рзѕе 
10.0.0.0 урп.ехатр1е. 255.0.0.0 и 50 [2] Ө типо 
10.10.135.0 0.0.0.0 255.255.217.0 0 50 [2] Ө типо 
урп.ехатр1е. вафемау 255.255.255.255 ОСН 600 е Ө м1рзѕ0 
172.17.0.0 0.0.0.0 255.255.0.0 и ө е Ө Ядоскеге 
192.168.1.0 * 255.255.255.0 0 600 е Ө м1рзѕе 


В примере маршрута показан беспроводной интерфейс (м1р35@), а также ин- 
терфейс, представляющий туннель виртуальной частной сети (Упаа! Риуае 
Меіуогк, УРМ). УРМ обеспечивает зашифрованную частную связь между кли- 
ентом и удаленной сетью через небезопасную сеть, например Интернет. Здесь 
туннель идет от локальной системы по интерфейсу м1апе к хосту с именем 
урп.ехатр1е . сот (часть имени сокращена). 

Вся связь с сетью 192.168.1.0/24 по-прежнему идет непосредственно по беспро- 
водной локальной сети. Однако пакеты, предназначенные для сетей 10.10.135.0/24 
и 10.0.0.0/8, направляются непосредственно в \урп.ехатр1е. сом для связи с хостами 
на другой стороне УР№-соединения через туннель (%ип@). 

Для связи с контейнерами (доскега), работающими в локальной системе по сети 
172.17.0.0, устанавливается специальный маршрут. Все остальные пакеты идут 
по стандартному маршруту (по умолчанию) через адрес 192.168.1.0. Что касается 
флагов, показанных в выходных данных, то И говорит, что маршрут открыт, 6 иден- 
тифицирует интерфейс как шлюз, а Н говорит, что конечной целью является хост 
(как в случае с УР№-соединением). 

До сих пор я показывал маршруты выхода из локальной системы. Чтобы про- 
следить маршрут до хоста от начала до конца, используйте команду Ёгасегоиёе 
(ап іпѕа11 Егасегои*е). Например, чтобы проследить маршрут, по которому 
пакет идет от локальной системы до сайта доодіе.сот, введите следующую команду 
{гасегоите: 


# +гасегоифе роор1е. сот 
{гасегои*е фо роор1е.сот (74.125.235.136), 30 һорѕ тах, 60 Буфе рк+ѕ 


ггс$-70-62-95-197.п1Азоц%ЕИ.617.гг.сом (70.62.95.197) ... 
5е-2-1-090.г1=Ипсрор-гг1. оцНеа$*.гг.сот (24.93.73.62) ... 
ае-3-0.сг@.4са10.+Бопе.гг.сот (66.109.6.80) ... 

10 107.14.19.133 (107.14.19.133) 13.662 тѕ ... 

11 74.125.49.181 (74.125.49.181) 13.912 тѕ ... 

12 209.85.252.80 (209.85.252.80) 61.265 тѕ ... 


о о м · 
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13 66.249.95.149 (66.249.95.149) 18.308 тѕ ... 

14 66.249.94.22 (66.249.94.22) 18.344 тѕ ... 

15 72.14.239.83 (72.14.239.83) 85.342 тѕ ... 

16 64.233.174.177 (64.233.174.177) 167.827 т$ 

17 209.85.255.35 (209.85.255.35) 169.995 тѕ ... 

18 209.85.241.129 (209.85.241.129) 170.322 тѕ 

19 пг{19$11-1п-+8.1е100.пеф (74.125.235.136) 169.360 тѕ ... 


Я сократил часть выходных данных, чтобы убрать начальные маршруты и коли- 
чество времени (в миллисекундах), которое требовалось пакетам для прохождения 
каждого маршрута. С помощью команды ёгасегои+е можно увидеть, где произошла 
остановка, если сетевая связь перестала работать. 

Просмотр хоста и доменных имен. Чтобы увидеть имя хоста, назначенное ло- 
кальной системе, введите команду һоѕ&пате. Чтобы увидеть доменную часть этого 
имени, используйте команду апѕаотаіппате: 


# һоѕпате 
ѕріке.ехатр1е. сот 
# апѕаӢотаіппате 
ехатр1е. сот 


Настройка сетевых интерфейсов 


Если вы не хотите, чтобы сетевые интерфейсы назначались автоматически с ОНСР- 
сервера (или если ОНСР-сервера нет), можете настроить их вручную. Это вклю- 
чает в себя назначение ІР-адресов, размещение ОМ№5-серверов и шлюзов, а также 
маршрутов, что можно настроить с помощью МебуогкМапазег. 


Настройка ІР-адресов вручную 


Чтобы изменить конфигурацию сети для проводного сетевого интерфейса с по- 
мощью Меб\уоткМапазег, выполните следующие действия. 


1. Выберите значок настроек в раскрывающемся меню в правом верхнем углу 
рабочего стола, а затем пункт №емок (Сеть). 


2. Предположим, у вас есть карта сетевого интерфейса, которая еще не использу- 
ется. В этом случае нажмите кнопку настроек (маленький значок шестеренки) 
рядом с тем сетевым интерфейсом, который хотите изменить. 

3. Выберите раздел ГРу4 и измените метод ГРУ4 с варианта Аиіотайс (Автоматиче- 
ский) (ОНСР) на вариант Мапиа! (Вручную). 

4. Введите следующую информацию (требуются только Аайгеѕѕ (Адрес) и МентазК 
(Маска сети)). 


= дайгеѕѕ (Адрес). ІР-адрес, который вы хотите назначить своему локальному 
сетевому интерфейсу, например 192.168.100.100. 
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МентазКк (Маска сети). Маска подсети, которая определяет, какая часть 
ТР-адреса представляет сеть, а какая — хост. Например, сетевая маска 
255.255.255.0 идентифицирует сетевую часть предыдущего адреса как 
192.168.100, а хост-часть — как 100. 


Саемау (Шлюз). ІР-адрес компьютера или устройства в сети, который дей- 
ствует как маршрут по умолчанию. Он направляет пакеты из локальной сети 
на любой адрес, недоступный в локальной сети, или по какому-то другому 
пользовательскому маршруту. 


О№ 5 зегуег$ (Серверы ОМ). Заполните ІР-адреса системы, которая предо- 
ставляет службу О№Ѕ вашему компьютеру. Если существует более одного 
О№ -сервера, добавьте остальные в список серверов, разделяя их запя- 
ТЫМИ. 


5. Нажмите кнопку Арру (Применить). Новая информация сохранится, и сеть 
перезапустится с использованием новой информации. На рис. 14.5 показан 
пример сетевых настроек. 


Сапсе{ Млгеа 


Фе епу Реф 1Р6 беситу 


1ру& Мелоа Ашкіотаќйс (ОНСР) Ипк-1осаі Опу 
Ома ОёѕаЫе 


Абдгеѕѕеѕ 


Аат Малд 


192.168.100.100 1252552550 


Ө 1едогазо 


Рис. 14.5. Изменение сетевых настроек с помощью программы М№ебуогкМападег 


Настройка псевдонимов ІР-адресов 


Вы можете присоединить несколько ТР-адресов к одному сетевому интерфейсу. 
Для этого на том же экране Мъебуогк Мапазег нужно заполнить поля последующих 
адресов в области Адагеѕѕеѕ (Адреса) и добавить новую информацию об ІР-адресе. 
Вот что следует знать о добавлении псевдонимов к адресам. 
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® Для каждого адреса требуется маска сети, шлюз при этом не нужен. 


® Кнопка Арру (Применить) остается неактивной до тех пор, пока вы не введете 
в поля актуальную информацию. 


® Новый адрес не обязательно должен находиться в той же подсети, что и исход- 
ный адрес, хотя он считывает трафик в той же физической сети. 


После того как я добавил адрес 192.168.100.103 к своему проводному ин- 
терфейсу, команда ір айг ѕһом епр450 отобразила следующие два ТР-адреса на 
интерфейсе: 

2: епр450: <ВКОАРСАЅТ ‚, МИЕТТСАЗТ ‚ ОР, ОМЕК ОР> ми 1500 дЯіѕс +а_со4де1 
$фафе ОР вгоир 4ефаи1* д1Іеп 1000 
Ііпк/еёһег 30:85:а9:04:96:49 Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ 
1пе{ 192.168.100.100/24 Бга 192.168.100.255 ѕсоре 
51оБа1 поргеҒіхгоиёе епр450 
\а11а_ Іғё Ғогемег ргеРеггед_1+Е Фогеуег 
1пе{ 192.168.100.103/24 Бга 192.168.100.255 ѕсоре 
51оБа1 ѕесопӣагу порге+іхгоие епр450 
уа1іа 1+ Ғогемег ргеҒеггеа 1+ Фогеуег 


Дополнительные сведения о настройке псевдонимов непосредственно в файлах 
конфигурации см. в подразделе «Настройка псевдонимов сетевых интерфейсов» 
далее в этой главе. 


Установка маршрутов 


При запросе подключения к ТР-адресу ваша система просматривает таблицу марш- 
рутизации, чтобы определить путь, по которому можно подключиться к данному 
адресу. Информация передается в виде пакетов. В зависимости от назначения пакет 
маршрутизируется следующими способами. 


® Локальная система отправляется на интерфейс 10. 


® Система в локальной сети направляется через вашу карту сетевого интерфейса 
непосредственно на карту сетевого интерфейса предполагаемой системы-полу- 
чателя. 


® Любая другая система отправляется на шлюз (маршрутизатор), который затем 
направляет пакет по назначенному адресу в Интернете. 


Конечно, то, что я только что описал, — это самый простой вариант развития 
событий. На самом деле у вас может быть несколько карт сетевого интерфейса со 
множеством интерфейсов различных сетей. А еще может быть несколько марш- 
рутизаторов в локальной сети, которые обеспечивают доступ к другим частным 
сетям. Например, у вас есть маршрутизатор (или другая система, действующая 
в качестве маршрутизатора) в локальной сети, вы можете добавить пользователь- 
ский маршрут к этому маршрутизатору через утилиту МебуогкМапарег. Задействуя 


400 Часть М • Администрирование серверов в Шпих 


предыдущий пример с помощью этой утилиты, прокрутите страницу вниз, чтобы 
увидеть раздел Воџќеѕ (Маршруты). Затем добавьте следующее. 


® даагеѕѕ (Адреса). Сетевой адрес подсети, к которой вы хотите подключиться. 


Например, если маршрутизатор (шлюз) предоставит вам доступ ко всем систе- 
мам в сети 192.168.200, добавьте адрес 192.168.200.0. 


® Меітаѕк (Маска сети). Добавьте сетевую маску, необходимую для идентифика- 
ции подсети. Например, если маршрутизатор предоставляет доступ к адресу 
класса С 192.168.200, вы можете использовать сетевую маску 55.255.255.0. 


® Саемау (Шлюз). Добавьте ІР-адрес маршрутизатора (шлюза), который обеспе- 
чит доступ к новому маршруту. Например, если маршрутизатор имеет ІР-адрес 
192.168.1 в вашей сети 192.168.1.199, добавьте этот адрес в поле. 


Нажмите кнопку Арру (Применить), чтобы применить новые данные. Возможно, 
вам придется перезапустить интерфейс, чтобы изменения вступили в силу (напри- 
мер, командой і+ир епр450). Введите команду гоиќе -п, чтобы убедиться, что новый 
маршрут был применен: 


# гоие -п 
Кегпе1 ТР гои{1п= +аб1е 


Без{1па+1оп бафемау бепта$К Е1аё5 Мефг1с ВеЁ Це Т+асе 
0.0.0.0 192.168.100.1 0.0.0.0 0б 1024 ө Ө р4р1 
192.168.100.0 0.0.0.0 255.255.255.0 ЦП ө ө Ө р4р1 
192.168.200.0 192.168.1.199 255.255.255.0 б 1 ө Ө р4р1 


В примере видно, что шлюз по умолчанию — это 192.168.100.1. Однако все па- 
кеты, предназначенные для сети 192.168.200, маршрутизируются через узел шлюза 
по ІР-адресу 192.168.1.199. Предположительно, этот хост имеет сетевой интерфейс 
сети 192.168.200 и настроен так, чтобы другие хосты могли маршрутизировать 
через него в эту сеть. 

См. подраздел «Настройка пользовательских маршрутов» далее в этой главе, 
чтобы узнать, как задавать маршруты непосредственно в файлах конфигурации. 


Настройка сетевого прокси 


Если ваша настольная система работает через корпоративный брандмауэр, вы 
можете не иметь прямого доступа к Интернету. В этом случае, возможно, при- 
дется заходить в Интернет через прокси-сервер. Вместо того чтобы предоставить 
полный доступ к Интернету, прокси-сервер позволяет делать запросы только для 
определенных служб за пределами локальной сети. Затем прокси-сервер передает 
эти запросы в Интернет или другую сеть. 

Прокси-серверы обычно предоставляют доступ к веб-серверам (Н&р:// и ћрѕ://) 
и ЕТР-серверам (@р://). Однако прокси-сервер, поддерживающий протокол ЗОСК$ 
(ЅОСКеї Ѕесиге), может разрешать использование прокси-службы для различных 
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протоколов за пределами локальной сети. (ЗОСК$ — это сетевой протокол, позво- 
ляющий компьютерам-клиентам получать доступ к Интернету через брандмауэр.) 
Чтобы идентифицировать прокси-сервер в программе Меб\уоткМапазег и связать 
выбранные протоколы, проходящие через этот сервер, в окне 5е поз (Параметры) 
выберите вкладку Међмогк (Сеть), а затем перейдите в настройки раздела МевмогКк 
Ргоху (Сетевой прокси). 

Вместо того чтобы идентифицировать прокси-сервер для сетевых интерфейсов 
(через программу Меб\хогкМапабег), вы можете настроить свой браузер на прямое 
использование прокси-сервера, изменив предпочтения в браузере Еігеѓох. Пере- 
ключаться на прокси-сервер из окна браузера нужно так. 


1. В окне браузера Еігеіох выберите раздел Ргеѓегепсеѕ (Настройки) из выпадающего 
списка справа. Появится окно настроек для браузера. 


2. В окне настроек прокрутите информацию вниз до пункта №ебмогк 5е поз (Пара- 
метры сети) и нажмите кнопку 5е пд (Настроить). 


3. В появившемся окне можно попробовать автоматически определить настрой- 
ки прокси-сервера или, если вы установили прокси-сервер в Меб\уотк Мапазег, 
выбрать вариант Це ѕуѕіет ргоху зе паз (Использовать системные настройки 
прокси). Можно также выбрать ручную настройку прокси-сервера, заполнить 
информацию, приведенную далее, и нажать кнопку ОК. 


= НТТР Ргоху (НТТР прокси). ІР-адрес компьютера, предоставляющего прокси- 
службу. Пересылает все запросы на веб-страницах (ћіёр://ргоёосо!) в прокси- 
сервер. 

= Ро (Порт). Порт, связанный с прокси-службой. По умолчанию номер порта 
3128, но может быть и другим. 


= Џѕе {һіѕ ргоху ѕегмег Гог а! ргоќосоіѕ (Использовать этот прокси для ЕТР 
и НТТР5). Установите флажок в этом поле, чтобы задействовать те же 
прокси-сервер и порт для всех других запросов на обслуживание. Это при- 
ведет к тому, что другие настройки прокси-сервера станут неактивными. 
(Устанавливать этот флажок не обязательно, можно настроить каждую 
прокси-службу отдельно.) 


= Мо Ргоху (Без прокси). Добавьте имя хоста или ІР-адрес для любой системы, 
с которой хотите напрямую связаться через браузер Еігеѓох, не используя 
прокси-сервер. В таком случае не нужно указывать в этом поле соединение 
с Іоса1һоѕї и локальный ІР-адрес (127.0.0.1), так как эти адреса уже будут 
перенаправляться. 


На рис. 14.6 показан пример окна Сопйдиге Ргоху Ассеѕѕ їо {Не Іпіегтеї (Настройка 
прокси-доступа в Интернет). Здесь указана информация для настройки подклю- 
чения к прокси-серверу, расположенному по ІР-адресу 192.168.1.1, для всех прото- 
колов. Нажмите кнопку ОК, и все запросы из браузера Еігеѓох в места за пределами 
локальной системы будут направлены через прокси на соответствующий сервер. 
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Ө (ебогазо х | З РгеГетепсез х |+ 
ЭБЖ) © тех | абошсргеѓегепсеѕ а хумо ї 


Сопйдиге Ргоху Ассеѕѕ {о {Не Іпёегпеё 
Моргоху 
Ашко-Зеќесі ргоху эе ину Гог 1ћіѕ пебууогк. 
бе ѕузлет ргоху е Им). 
Мапизі ргоху солбдига а 
НТТР Ргоху 192.168.1.1 
У зел ргохуѕегуег (ог ай ргохосоіз 

551 Ргоху 192.168.1.1 

ЕТРРгоху 192.168.1.1 
$ОСК5 Ной 192.168.11 

$0СК$\4 (®) 50СКЅу5 


Ашотаіќс реохусопбдига ют ОВ. 


Мо ргоху ог 


Рис. 14.6. Настройка использования прокси-сервера в браузере Еігеѓох 


Настройка сети из командной строки 


Утилита МебуогкМапавет отлично справляется с автоматическим обнаружением 
проводных сетей и предоставляет списки беспроводных. Случается, что нужно от- 
казаться от графического интерфейса М№еіуогк Мапасег и Соскрі, чтобы настроить 
необходимые функции. Вот часть сетевых функций систем ВНЕГ и Еедога, которые 
будут описаны в следующих разделах. 


® Базовая конфигурация. Вы узнаете, как использовать команду птёџі, чтобы 
настроить основные сети через интерфейс меню в оболочке. Этот инструмент 
обеспечивает интуитивно понятный интерфейс для построения сетей на серве- 
рах, не имеющих графического интерфейса. 


® Файлы конфигурации. Вы разберетесь в файлах конфигурации, связанных 
с сетью Гапих, и в том, как их настроить. 


ө Объединение каналов ЕФегпев. Настройка объединения каналов Е(ћегпеё (не- 
сколько сетевых карт прослушивают один и тот же ІР-адрес). 


Настройка сети с помощью команды пт 


Многие серверы не имеют графических интерфейсов. Поэтому, если вы хотите 
настроить работу сети, необходимо иметь возможность сделать это из оболочки. 
Один из способов — напрямую редактировать сетевые файлы конфигурации. 
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Другой способ — использовать команды 
меню, которые позволяют осуществлять 
навигацию по меню и настраивать сетевые 
интерфейсы с помощью клавиши Тар и кла- 
виш со стрелками. 

Команда пти1 (учит іпѕёа11 МефмогКМа- 
парег-+и1) предоставляет интерфейс на 
основе меню, который работает в оболоч- 
ке. От имени суперпользователя введите биз 
команду пптќџі, чтобы увидеть такой экран, 
как на рис. 14.7. 

С помощью клавиш <-, 1, $ и > и Таб мож- 
но перемещаться по интерфейсу. Выделите 
нужный элемент меню и нажмите клави- 
шу Епќег, чтобы выбрать его. Интерфейс Рис. 14.7. Настройка сетевых 
ограничен и позволяет выбрать следующие параметров с применением утилиты 
параметры: Еай а соппесіоп (Изменить со- Мехиргкмалацег ти! 
единение), Асііуаќе а соппесйоп (Подключиться), используя карты сетевого ин- 
терфейса, Ѕеї ѕуѕіет һоѕіпате (Изменить имя хоста) с помощью имени хоста 
и конфигурации О№. 


М№МетмогкМападег ТИТ 


Р1еаѕе ѕе1есї ап ор+іоп 


ЕаїіЕ а соппес+1іоп 


Ас+іуа+е а соппес+1іоп 


5еф ѕуѕїіет һоѕіпате 


Редактирование соединения в М№ъ№еіммогКкМападег ТИТ 


На экране №ебуогкМапазег ТОТ отображаются варианты действий с текущим со- 
единением. 


1. Еаі а соппесіоп (Изменить соединение). Выделите этот вариант и нажмите 
клавишу Епќег. Отобразятся список сетевых устройств (обычно проводных или 
беспроводных карт Е(ћегпеї), а также все беспроводные сети, к которым вы 
подключались в прошлом. 


2. Меблогк демісеѕ (Устройства сети). Выделите одно из сетевых устройств (я выбрал 
проводной интерфейс Ећегпеї) и нажмите клавишу Етег. 


3. 1Ру4 Сопідигайоп (Конфигурация ГРу4). Нажмите кнопку Ѕһом (Показать) напро- 
тив конфигурации 1Р4 и клавишу Епќег. Появится окно Ед Соппесбоп (Изменить 
соединение), которое позволяет отредактировать информацию, относящуюся 
к выбранному сетевому устройству. 


4. Мапиаі (Вручную). Вы можете оставить поля Ргойе Мате (Имя профиля) и ОСемісе 
(Устройство) без изменений. По умолчанию включен вариант Аиіотайс (Авто- 
матически). Он позволяет сетевому интерфейсу автоматически появляться 
в сети, если доступна служба ОНСР. Чтобы самостоятельно ввести адрес и дру- 
гую информацию, используя клавишу Таб, выделите поле Аиотайс ( Автоматиче- 
ски) и нажмите клавишу Пробел, затем с помощью клавиш <, 1, } и > выделите 
вариант Мапиа! (Вручную) и нажмите клавишу Епќег. 
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10. 


Ааагеѕѕ (Адреса). Теперь введите информацию об адресе (ТР-адрес и сетевую 
маску), например 192.168.0.150/24, где 24 — это бесклассовая междомен- 
ная маршрутизация (СТОК), которая является эквивалентом сетевой маски 


255.255.255.0. 


Саемау (Шлюз). Введите ІР-адрес компьютера или маршрутизатора, который 
передаст маршрут в Интернет. 


О№ ѕегуегѕ (Серверы О№). Введите ІР-адреса одного или двух О№5-серверов, 
чтобы сообщить системе, куда направляться, и чтобы перевести имена запра- 
шиваемых хостов в [Р-адреса. 


Ѕеагсһ аотаіпѕ (Поиск доменов). Поиск доменов применяется при запросе хоста 
из приложения без использования полного доменного имени. Например, если 
вы добавите ріпа һоѕ+1 к пути поиска ехатр1е. сот, команда будет пытаться от- 
править пинг-пакеты на ћоѕ+1.ехатр1е. сом. 


Воита (Маршрутизация). Вы можете создавать собственные маршруты, перей- 
дя к пункту Воийпа (Маршрутизация) и выбрав его клавишей Ещег. Заполните 
поля Оеѕіпайоп/Ргейх (Назначение/префикс) и №ехї Нор (Следующий переход) 
и нажмите кнопку ОК, чтобы сохранить новый пользовательский маршрут. 


Другие варианты. Из других вариантов на экране можно выбрать № е\ег изе {15 
пебмогк Гог Чегаик гоще (Не использовать эту сеть для текущего маршрута), если 
сеть не подключается к более широким сетям, и Ідпоге ащотайсау обќаіпеа гощез 
(Игнорировать автоматически полученные маршруты), если вы не хотите, чтобы 
данные функции автоматически устанавливались из сети. На рис. 14.8 показан 
экран после выбора варианта настроек Мапиа! (Вручную). 


Еаії Соппес+іоп 


Рго11е пате Е 71797279 % (70и! 
ОРЕ 30 : 85: д9:04:9В:Е9 (епр450) 


= ЕТНЕАМЕТ 


т ТРу4 СОМҒІСЦКАТІОМ <Мапиа1> 
Адагеѕѕеѕ <Ветоуе> 


<Ааа...> 
бафемау ШУИ: 8 


Ц 
0№5 зегуегз 7$}: 872571 <Кетоуе> 
<Ааа...> 


Ѕеагсһ дотаіпѕ <Вето\уе> 
<Ааа. . .> 


ВКои+іпд Опе сизфот гои+е <Е4і+...> 
[ ] №уег чзе +һіѕ пемогк Тог Яе?аџи1+ гоџ+е 
[ ] Ідпоге аџ+ота+іса11у ор+аіпеа гоџ+еѕ 
[Х] Тдпоге аи+ота+іса11у оБ+аіпеа 0№5 рагате+егѕ 


Рис. 14.8. Установите постоянные ІР-адреса, выбрав пункт Мапиа! (Вручную) 
на экране Баі Соппесіоп (Изменить соединение) 
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Перейдите к кнопке ОК с помощью клавиши Тар и нажмите клавишу Пробел. За- 
тем нажмите кнопку Оий (Выйти), чтобы выйти из утилиты. 


Сетевые файлы конфигурации 


Вне зависимости от того, что применяется для изменения сетевых настроек — 
МебуогкМапазег или птеи1, большинство одинаковых файлов конфигурации 
обновляется. В системах Еейога и КНЕГ. сетевые интерфейсы и пользовательские 
маршруты задаются в файлах каталога /еЁс/ ѕуѕсоп+ів/ пе иогК-зсг1 ре. 

Откройте файл /иѕг/ ѕһаге/дос/іпіїѕсгір5/ ѕуѕсопҒів. іх, чтобы увидеть 
описания сетевых конфигурационных файлов (доступны в пакете 1114 $сг1р*$). 

Необходимо быть осторожными, так как программа МебуогкМапабег считает, что 
она контролирует файлы в каталоге сетевых скриптов. Поэтому имейте в виду: если 
вы вручную зададите адреса в интерфейсе, который программа Меб\уогкМапазег 
использует для службы ОНСР, она может перезаписать изменения, внесенные 
вручную в файл. 


Файлы сетевого интерфейса 


Файлы конфигурации для каждого проводного, беспроводного, [50М, коммути- 
руемого или другого типа сетевого интерфейса представлены файлами в каталоге 
/еёс/зузсоп#1в/пефиогК-зсг1р*$, которые начинаются с 1с#в-1п%егасе. Обратите 
внимание на то, что слово іпёег+асе заменяется именем сетевого интерфейса. 

Если установить сетевой интерфейс проводной карты МС как епр456, то вот так 
будет выглядеть пример файла 1+с+в-епр4$0 для этого интерфейса, настроенного 
на использование службы ОНСР: 


РЕМІСЕ=епр450 
ТҮРЕ=Еһегпе& 
ВООТРКОТО=аһср 
ОМ№ВООТ=уеѕ 
РЕРКОУТЕ=уе$ 
00Т0=+16259с2-+350-4478-а539-604с3+95998с 
ІРМ4 РАІІОКЕ РАТА =по 
ТРУбТМТТ=уе$ 
ТРУб_АЦТОСОМЕ=уе$ 
ІРМ6 РЕЕКОШТЕ=уеѕ 
ІРМ6 РАІІОКЕ РАТА =по 
МАМЕ="Ѕуѕёет епр450" 
РЕЕКОМ№Ѕ=уеѕ 
РЕЕККОЦТЕ5=уеѕ 

ІРМ6 РЕЕКОМ№Ѕ=уеѕ 

ІРМ6 _РЕЕККОЦТЕ$ =уе$ 


В этом примере файла 1Есв-епр4з@ первые две строчки устанавливают 
имя устройства и тип интерфейса для подключения к сетям Е{Вегпее. Пере- 
менная ВООТРКОТО имеет значение аћһср, что заставляет ее запрашивать адреса 
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с ОНСР-сервера. Если имеется параметр ОМВООТ=уеѕ, то интерфейс запускается 
автоматически во время загрузки системы. Настройки для ІРУб указывают, что 
нужно инициализировать ІРУб и использовать их, но при этом интерфейс будет 
продолжать инициализироваться, даже если сеть ГРУб недоступна. Другие пара- 
метры настраивают применение параметра Цзе Реег О№5 (статический ІР-адрес) 
в автоматическом режиме и направление обнаруженных значений. 

Вот как может выглядеть простой файл 1+св-епр451 для проводного интер- 
фейса Ећегпеѓ, использующего статические ТР-адреса: 


РЕМІСЕ=епр451 
НЛАООК=00:1В:21:0А:ЕЗ:5Е 
ТҮРЕ=Е+һегпе+ 
ВООТРКОТО=попе 
ОМВООТ=уе$ 

ОЅЕАСТІ =по 
ТРАООВ=192.168.0.1409 
МЕТМА$К=255.255.255.0 
САТЕМАҮ=192.168.0.1 


В этом примере 14с+в-епр4$1 переменная ВООТРКОТО имеет значение попе, так как 
адрес и другая информация установлены статически. Другие изменения необходимы 
для задания информации об адресе, которую обычно собирают с ОНСР-сервера. 
В этом случае устанавливается ІР-адрес 192.168.0.140 с маской сети 255.255.255.0. 
Параметр бАТЕМАУ=192.168.0.1 идентифицирует адрес маршрутизатора в Интернете. 

Список других интересных настроек. 


© РЕЕВОМ5. Установка настройки РЕЕВОМ5=п не дает службе ОНСР перезаписывать 
файл /еіс/геѕо1у. соп. Она позволяет установить, какие О№5-серверы исполь- 
зует ваша система, не опасаясь, что эта информация будет стерта данными от 
ОНСР-сервера. 

ө рмѕ?. Если программа МебуогкМавазег управляет файлом 14 с+в, то он уста- 
навливает адрес О№5$-сервера с помощью записей службы ОМ№Ѕ. Например, 
0№51=192.168.0.2 приводит к тому, что этот ІР-адрес записывается в файл 
/еёс/геѕо1у.соп# в качестве первого ОМ№$-сервера системы. У вас может быть 
несколько строк 0№5? (0№52=, 2№53= т. д.). 


Помимо настройки основных сетевых интерфейсов, вы можете в каталоге /еёс/ 
ѕуѕсопҒів/пеногк-ѕсгіріѕ создавать файлы, которые используются для установки 
псевдонимов (несколько ТР-адресов для одного и того же интерфейса), связанных 
интерфейсов (несколько сетевых карт, прослушивающих один и тот же адрес) 
и пользовательских маршрутов. Мы рассмотрим эту тему позднее в данной главе. 


Другие сетевые файлы 


Помимо файлов сетевого интерфейса, существуют и другие файлы конфигурации 
сети, которые можно редактировать непосредственно для настройки сети пих. 
Рассмотрим их подробнее. 
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Файл /еѓс/ѕуѕсопбе /пеімогк. Общесистемные настройки, связанные с вашей 
локальной сетью, могут быть включены в файл /еёс/ѕуѕсопҒів/пеёмогк. В верси- 
ях системы до КНЕТ. 6 в этом файле обычно устанавливалось имя хоста системы, 
но в него можно добавить и другие настройки. Пример содержимого файла /еёс/ 
5узсоп 18 / пемогкК: 


САТЕМАҮ=192.168.0.1 


Здесь параметр бАТЕМАУ по умолчанию установлен как 192.168.0.1. Разные 
интерфейсы могут использовать различные адреса бАТЕМАҮ. Чтобы узнать о других 
параметрах, которые могут появиться в сетевых файлах, изучите файл зузсоп1в.&х& 
в каталоге /иѕг/ ѕћаге/аос/іпіёѕсгір+ѕ. 

Файл /ессЉоѕіпате. В дистрибутивах КНЕГ. и Ее4ога имя хоста системы 
хранится в файле /еёс/һоѕ+пате. Например, если файл содержит имя хоста 
ћоѕ1 .ехатр1е. сот, это имя будет устанавливаться каждый раз при загрузке систе- 
мы. Чтобы проверить, какое имя хоста задано, введите команду һоѕёпапе. 

Файл /ес /оѕіѕ. До создания службы ОМ преобразование имен хостов в ІР- 
адреса осуществлялось передачей одного хост-файла. Пока в Интернете было 
всего несколько десятков, а затем и несколько сотен хостов, этот вариант довольно 
хорошо работал. Однако по мере роста сети Интернет одного хост-файла стало не- 
достаточно, и была изобретена служба ОМ№. 

Файл /еїс/һоѕ+ѕ все еще существует в системах [іпих, и его все еще можно 
применять для сопоставления [Р-адресов с именами хостов. Файл /еёс/һоѕЁѕ — 
это способ настроить имена и адреса для небольшой локальной сети или просто 
создать псевдонимы, чтобы облегчить доступ к постоянно используемым системам. 

Пример файла /еёс/һоѕѕ: 


127.0.0.1 1оса1һоѕїі 1оса1һоѕ+.1оса1аотаіп 
5.1 1Іоса1һћоѕ& 1оса1һћоѕі.1оса1аотаіп 
192.168.0.201 пойе1.ехатр1е.сот пойе1 јое 
192.168.0.202 пойе2.ехатр1е.сот пойе2 ѕа11у 


Первые две строки (127.0.0.1и ::1) задают адреса для локальной системы. 
ТРу4-адрес для локального хоста — это 127.0.0.1, ГРуб-адрес для локального хо- 
ста — ::1. В примере также есть строки с двумя ІР-адресами. Вы можете прийти 
к первому ІР-адресу (192.168.0.201) с помощью команд поде1 .ехатр1е. сот, поде1 
или јое. Например, введите р1пр јое, и тогда пинг-пакеты будут отправлены на 
адрес 192.168.0.201. 

Файл /еѓс/теѕоІу.сопЁ. О№5-серверы и поисковые домены задаются в файле 
/еёс/гезо1\ .соп+. Если утилита Меб\уоткМапазег включена и запущена, не нужно 
редактировать этот файл напрямую. При использовании команды 0№?= из файлов 
1сёв -* Мебуогк Мапазег перезапишет файл /ес/геѕо1у.соп# и вы потеряете уже 
добавленные в него данные. Пример файла /еёс/геѕо1у.соп#, который был изменен 
утилитой М№ебуогкМапавег: 

# бепега+еа Бу МемогКМапазег 


патезегуег 192.168.0.2 
патезегуег 192.168.0.3 
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Каждая запись с директивой патеѕегуег (имя сервера) идентифицирует ІР-адрес 
ОМ№5-сервера. Порядок записей определяет порядок проверки ОМ5-серверов. 
Если первая запись недоступна, вполне нормально, что отображаются две или три 
дополнительные. Более того, проверка недопустимого имени хоста для каждого 
сервера может занять слишком много времени. 

Другой тип записи, которую можно добавить в этот файл, — запись поиска. 
Она позволяет указывать домены для поиска, когда имя хоста запрашивается по 
базовому имени, а не полному доменному имени. Записей поиска может быть не- 
сколько при идентификации одного или нескольких доменных имен после ключе- 
вого слова поиска, как в следующем примере: 


ѕеагсһ ехатр1е.сот ехатр1е.оге ехатр1е. пе 


Параметры поиска разделены пробелами или отступами. 

Файл /еёс/пѕѕуієсһ.сопЁ. В отличие от предыдущих файлов, файлом /е+с/ 
п$5и4Есй. соп+ управляет команда аићѕе1есї и его нельзя изменять вручную. Что- 
бы внести изменения, отредактируйте файл //еёс/аиїћѕе1есі/иѕег-пѕ5місһ. соп 
и запустите команду аи&һѕе1есї арр1у-сНапве$. 

Настройки в файле /еёс/пѕѕмієсһ. соп определяют, что преобразование имени 
хоста выполняется поиском сначала локального файла (файлов) /еёс/һоѕіѕ, а за- 
тем ОМ5-серверов, перечисленных в файле /еЁс/геѕо1у. соп+ (Япѕ). Значение пере- 
менной туһоѕёпате используется для того, чтобы гарантировать, что адрес всегда 
будет возвращаться хосту. Вот как выглядит запись һоѕ&ѕ в файле /еёс/геѕо1у.соп# 
в дистрибутиве Кеа Наб Ещегри1зе Піпих: 


ћоѕ+5: Ғі1еѕ ӣпѕ туһоѕ+пате 


Вы можете добавлять и другие местоположения, такие как базы данных М№ебууогк 
Тогтайоп Ѕегуісе (піѕ или піѕр1иѕ), чтобы запросить перевод имени хоста в ІР- 
адрес. Можно изменить порядок, в котором запрашиваются различные службы, 
а также проверить правильность преобразования имени хоста в ІР-адрес с помощью 
различных команд. 

Если вы хотите проверить, правильно ли запрашиваются ваши О№5-серверы, 
используйте команды һоѕё или 918, например: 


$ һоѕ геаһа+. сот 

гедһа+. сот Ваз аййгеѕ5 209.132.183.105 

гедһа+. сот та11 1$ һапа1еа Бу 10 иѕ-ѕтер-іпроипа-1.тітесаѕ+. сот. 
гедһа+. сот та11 1$ һапа1еа Бу 10 иѕ-ѕтер-іпроипа-2.тітесаѕ+. сот. 
$ аір гедһа+. сот 

; <<>> 016 9.11.11-КеаНа-9.11.11-1.#с30 <<>> гейһа+.сот 

;; в1оба1 ор1оп$: +ста 

;; бої апѕмег: 

;; ->>НЕАРЕК<<- орсойе: ОЧЕКУ, ѕ+а+иѕ: МОЕВВОВ, іа: 9948 

;; Т1авѕ: аг га га; ОЧЕВУ: 1, АМ№ЅМЕК: 1, АОТНОКТТУ: Ө, АБОТТТОМАЕ: 1 
;; ОРТ РЅЕЦРрОЅЕСТІОМ: 

; Е0№: мег$1оп: @, #1арѕ:; иар: 4096 

;; ОЧЕЗТТОМ ЅЕСТІОМ: 

;геапа*. сом. ІМ А 
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;; АМЗМЕК ЅЕСТІОМ: 

геаһа+. сот. 3600 ІМ А 09.132.183.105 
;; Очегу Е1те: 49 тѕес 

;; ЅЕКМЕК: 8.8.8.8#53(8.8.8.8) 

;; МНЕМ: 5аф №у 23 19:16:14 ЕЅТ 2019 


По умолчанию команда һоѕё выполняет более простой вывод для О№-запросов. 
Она показывает ІР-адрес для гедпа* .соти имена почтовых серверов (МХ-записей), 
которые относятся к геаНа* . сот. Команда 915 отображает информацию, аналогич- 
ную той, что появляется в файлах, содержащих записи О№5. Часть вывода ОЧЕЗТТОМ 
ЅЕСТІОМ указывает, что в разделе адреса запрашивается адрес гедпа* .соти в части 
вывода АМЗИЕВ был дан ответ (209.132.183.105). Вы также можете увидеть адрес 
запрошенного ОМ5-сервера. 

Команды По$* и 41в используются только для запроса ОМ5-серверов. Они 
не проверяют файл пѕѕиіёсћ. соп, чтобы найти другие запросы, например, в файле 
ћоѕёѕ. Для этого нужно взять команду реёепі: 


# вефепе һоѕе5 пойе1 
192.168.0.201 по4де1 


Здесь команда 5ефеп{ находит хост с именем поде1, который был добавлен В МОЙ 
локальный файл /еёс/һоѕёѕ. Команду реепё можно применять для запроса любой 
информации, настроенной в файле пѕѕміёсһћ.соп#. Например, введите команду 
бетеп раѕѕма гоої, чтобы увидеть учетную запись суперпользователя в локальном 
файле. Команда может также запросить удаленную базу данных Г.ОАР, чтобы 
получить информацию о пользователе, если такая функция настроена. О ее на- 
стройке написано в главе 11 «Управление учетными записями». 


Настройка псевдонимов сетевых интерфейсов 


Рассмотрим случай, когда необходимо, чтобы ваша карта сетевого интерфейса 
прослушивала несколько ГР-адресов. Например, если вы настраиваете веб- 
сервер, который обслуживает защищенные данные (Һ&рѕ) для нескольких доменов 
(ехатре.сот, ехатр!е.огд и т. д.), то для каждого домена потребуется отдельный 
ТР-адрес, связанный с отдельным сертификатом. В таком случае вместо того, чтобы 
добавлять дополнительные карты сетевого интерфейса, можно создать несколько 
псевдонимов на одной карте. 

Чтобы получить псевдоним сетевого интерфейса в КНЕГ. 6 и более ранних 
версиях системы Еедога, нужно создать еще один файл 1с+в-. Как и в интерфейсе 
еһе в системе ВНЕГ, вы можете создать интерфейс еһе :0, связанный с той же 
картой сетевого интерфейса. 

Для этого создайте в каталоге /еёс/ ѕуѕсопҒір/пеёмогк-ѕсгіріѕ файл с именем 
іҒсғе-еће : 0, содержащий следующую информацию: 

РЕМІСЕ=е&һе:0Ө 
ОМРАВЕМТ=уе$ 


ТРАООВ=192.168.0.141 
МЕТМА$К=255.255.255.0 
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Здесь код создает псевдоним для сетевого интерфейса еһе и называет его 
еһе :ө. Не параметр ОМВООТ, а параметр ОМРАКЕМТ приказывает вызвать этот 
интерфейс, если родительский процесс (еһе) запущен и прослушивает адрес 
192.168.0.141. 

Вы можете вызвать этот интерфейс, набрав команду 1+ир е: 9. Затем, чтобы 
проверить, что интерфейс появился, используйте команду 1р: 


$ ір аааг ѕһом еһе 
2: еһе: <ВКОАРсСАЅТ,МОІТІСАЅТ, ОР, ГОМЕК_УР> шеи 1500 даіѕс 
р+1Фо_Фа$+ ѕ+а+е УР д1еп 1000 
Ііпк/еһег +0:4е:+1:28:46:499 Бга ЕЕ: ЕЕ: ЕЕ: ҒҒ: ҒҒ: ҒҒіпеї 
192.168.0.140/24 Бга 192.168.0.255 ѕсоре #1оБа1 
еһћдіпеі 192.168.0.141/24 бга 192.168.0.255 ѕсоре р1ора1 зесопдагу 
еєһе:діпеб Ғе80: : Е24е:+1++:+е28:4699/64 ѕсоре 1іпк 
\а11а_1+Е Ғогемег ргеҒеггеа 1+ Фогеуег 


В выводе видно, что карта сетевого интерфейса еһе теперь прослушивает 
два адреса: 192.168.0.140 (е+һе) и 192.168.0.141 (етһе:ө). Таким образом, система 
будет реагировать на пакеты, предназначенные для любого из этих двух адресов. 
Вы можете добавить больше ІР-адресов к этому интерфейсу, создав больше файлов 
ісҒе-еһе: ? (іҒсҒр-еһе:1, іЕсҒр-еїһе:2 т. д.). 

В более поздних системах ВНЕГ и Еейога псевдонимы можно создавать непо- 
средственно в основном файле і#с#е. Например, основной адрес (192.168.0.187) 
и адрес-псевдоним (192.168.99.1) для карты сетевого интерфейса с именем р4р1 мо- 
гут быть представлены следующими настройками в файле 1+с+в-р4рл: 


ІРАррА=192.168.0.187 
РКЕЕТХ=24 
ТРАООК1=192.168.99.1 
РКЕРТХ1=24. 


Объединение каналов Ећегпеї 


Объединение каналов Еіћетеі позволяет иметь более одной сетевой интерфейсной 
карты на компьютере, связанном с одним ІР-адресом. Есть несколько причин, по- 
чему эта функция может пригодиться. 


ө Высокая доступность. Несколько сетевых карт на одном и том же ІР-адресе 
могут гарантировать, что если одна подсеть выйдет из строя или одна сетевая 
карта испортится, то доступ к адресу все еще будет возможен на другой сетевой 
карте, подключенной к другой подсети. 


® Производительность. Если сетевого трафика слишком много, чтобы карта 
сетевого интерфейса смогла его обработать, трафик можно распределить по 
нескольким сетевым картам. 


В системах Кеа Наб Ещегри1зе Глпих и Еейога на компьютере с несколькими се- 
тевыми картами можно настроить объединение каналов Ећегпе, создав несколько 
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файлов 1Ес+в и загрузив необходимый модуль. Вы можете начать с одного файла 
объединения (например, 1#с+в-Бопа@), а затем добавить еще несколько файлов 
і#сЕр-е+һ?. Затем загрузите модуль объединения. 

В зависимости от типа объединения можете установить различные режимы 
своего интерфейса объединения. Используя переменную ВОМОТМ 6_ОРТ$, выберите 
режим и другие параметры объединения (все они передаются в модуль объедине- 
ния). Можете прочитать о модуле объединения, введя команду тоаітёо бопдіпе или 
установив пакет Кегпе1 -дос и изучив файл бопаіпв.іх+ из каталога /изг/зНаге/ 
дос/Кегпе1 -Яос* /Роситепатіоп/ пеёмогкіпе/. 

Далее приведен пример файла, который определяет интерфейс объединения. 
Файл здесь — это еёс/зузсоп+1 в /пефмогКк-хсг1р$/1св-Бопае: 


РЕМІСЕ=бопаё 

ОМВООТ=уе$ 

ТРАООВ=192.168.0.50 
МЕТМА$К=255.255.255.0 
ВООТРКОТО=попе 

ВОМОІМС ОРТ5="тойе=асёіуе-Ббаскир" 


Интерфейс Бопае в этом примере использует ІР-адрес 192.168.0.50. Запускается 
при загрузке системы. Параметр Вопӣіпв_оріѕ устанавливает режим активного 
резервного копирования в файл объединения. Это означает, что одновременно 
активна только одна карта сетевого интерфейса, а следующая карта вступает в дей- 
ствие только при сбое предыдущей (реализована функция отказоустойчивости). 
С интерфейсом Бопае еще не связана ни одна карта сетевого интерфейса. Для этого 
необходимо добавить отдельные параметры для файла і#с#в. Например, создайте 
файл /еїс/ѕуѕсопҒів/ пеёмогк- ѕсгірѕ/ ісе -еһе, который выглядит как в при- 
мере далее, а затем — е&ћ1, еһ2, е ИЗ и т. д. для карты сетевого интерфейса, которую 
нужно добавить в интерфейс объединения: 

РЕМІСЕ=еһе 
МАЗТЕК=Бопа@ 
ЅІАМЕ=уеѕ 


ВООТРКОТО=попе 
ОМВООТ=уе$ 


При использовании интерфейса еһе в качестве части интерфейса Бопа@ 
ТР-адрес не назначается. Это происходит потому, что интерфейс еёће применяет 
ТР-адрес из интерфейса Бопа@, определяя себя подчиненным (51АМЕ=уеѕ) для Бопа@ 
(МАЅТЕК=Бопаё). 

В конце нужно убедиться, что интерфейс Бопа@ задействует модель объедине- 
ния. Для этого создайте файл /еёс/тоаргобе. /ропаіпв.сопё, который содержит 
следующую строку: 


а1іаѕ бопае Ббопаіпе 
Поскольку все интерфейсы настроены на параметр ОМВООТ=уе$, запускается 


интерфейс Бопае и все интерфейсы становятся еёһ?-доступными по мере необхо- 
димости. 
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Настройка пользовательских маршрутов 


При простой настройке сети сообщения, предназначенные для локальной сети, 
направляются на соответствующий интерфейс в ней, а сообщения для хостов 
вне локальной сети — на шлюз по умолчанию для отправки на удаленные хосты. 
В качестве альтернативы можно настроить пользовательские маршруты, чтобы 
обеспечить дополнительные пути к определенным сетям. 

Чтобы задать пользовательский маршрут в системах Еейога и ВНЕГ, нужно соз- 
дать файл конфигурации в каталоге /еёс/ ѕуѕсопҒір/пеёмогк-ѕсгірёѕ. Для марш- 
рута необходимо определить: 


® переменную шлюза бАТЕМАУ?. Установите ІР-адрес узла в локальной сети, 
который обеспечивает маршрут к подсети, представленной статическим 
маршрутом; 

® переменную адресов АрркЕ55?. Установите ІР-адрес, представляющий сеть, до 
которой можно добраться по статическому маршруту; 


® переменную маски сети МЕТМАЅК?. Установите маску сети, которая определя- 
ет, какая часть переменной АБОВЕ$$? является сетью, и представляет хосты 
в ней. 


Имя файла каждого пользовательского маршрута начинается с поие-іпёегасе. 
Например, маршрут через интерфейс еһе будет называться гоџќе-е+ће. У вас 
может быть несколько пользовательских маршрутов в этом файле, причем каждая 
запись маршрута заменит вопросительный знак (?) номером интерфейса: 
АрркЕ550=192.168.99.0 


МЕТМА5КӨ=255.255.255.0 
САТЕМАҮӨ=192.168.0.5 


В примере любой пакет, предназначенный для хоста в сети 192.168.99, будет от- 
правлен через локальный интерфейс еһе и направлен на узел шлюза 192.168.0.5. 
Предположительно, этот узел обеспечит маршрут к другой сети, содержащей хосты 
в диапазоне адресов 192.168.99. Данный маршрут вступит в силу после перезапуска 
сетевого интерфейса еһе. Чтобы проверить, работает ли маршрут после переза- 
грузки сетевого интерфейса, введите следующее: 


# гоцтфе 

Кегпе1 ТР гои{1п= +аб1е 

Без{1па*1оп ба%емау бепта$К Е1арѕ Мефг1с Кеё Оѕе Т+фасе 
аеҒаи1+ 192.168.0.1 0.0.0.0 0с [2] [2] 9 еһе 
192.168.0.0 5 255.255.255.0 ЦП 1 [2] 9 еһе 
192.168.99.0 192.168.0.5 255.255.255.0 06 [2] е 9 еһе 


Выходные данные команды гои+е -п показывают, что маршрут по умолчанию 
(все, что не предназначено для локальной сети 192.168.0 или сети 192.168.99) про- 
ходит через адрес 192.168.0.1. Любые пакеты, предназначенные для сети 192.168.99, 
направляются по адресу 192.168.0.5. 
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Если нужно создать больше пользовательских маршрутов, добавьте их в этот же 
файл поиёе-е+ће. Для следующих маршрутов наборы информации будут называть- 
ся АБОВЕ$$1, МЕТМА$К1, САТЕМАҮ1 И т. д. 


Настройка сети на предприятии 


До сих пор мы рассматривали настройку сети для отдельных систем. Функции, 
доступные в Глпах, выходят за рамки этого процесса, предоставляя программное 
обеспечение, способное поддерживать полноценную сетевую инфраструктуру, не- 
обходимую хост-компьютерам для связи. 

В следующих разделах разберем некоторые типы служб сетевой инфраструкту- 
ры, доступные в системах Глпих. Проверка работы этих функций выходит за рамки 
книги, но, если вам понадобится управлять функциями сетевой инфраструктуры, 
в следующих разделах дано представление о том, как они реализуются в Ипих. 


Настройка Шпих в качестве маршрутизатора 


Если у вас на компьютере есть несколько сетевых интерфейсов (две и более кар- 
ты сетевого интерфейса), можете настроить Г4пих в качестве маршрутизатора. 
Для этого нужно лишь изменить один параметр ядра, который позволяет пере- 
сылать пакеты. Чтобы временно включить параметр 1р_+огмага, от имени супер- 
пользователя введите следующее: 

# саб /ргос/ѕуѕ/пеё/ірм4/1ір Ғогмага 

[2] 

# есһо 1 > /ргос/зу$/пе*/1ру4/1р_Фогиага 

# саб /ргос/ѕуѕ/пеё/ірм4/ір Ғогмага 

1 


Переадресация пакетов (маршрутизация) по умолчанию отключена, а значение 
1р_Фогмага равно 9. При значении 1 переадресация пакетов сразу же будет включе- 
на. Чтобы сделать ее постоянной, необходимо добавить это значение в файл /еёс/ 
ѕуѕс+1. соп следующим образом: 


пеё.іру4.ір Ғогмага = 1 


Если изменить этот файл так, как показано здесь, то каждый раз при перезагруз- 
ке системы значение ір Ғогмаға будет сбрасываться к 1. (Обратите внимание на то, 
что пе .іру4.ір Ғогмага отражает фактическое местоположение файла ір Ғогмага 
без /ргос/ѕуѕ и с точками, которые заменяют косую черту. Таким образом вы мо- 
жете изменить любые параметры ядра, заданные в структуре каталогов /ргос/ѕуѕ.) 

В качестве маршрутизатора система Глпих часто используется как бранд- 
мауэр между частной сетью и публичной сетью, например Интернетом. В таком 
случае можно задействовать эту же систему в качестве брандмауэра, который 


14 


414 Часть М • Администрирование серверов в Шпих 


преобразует сетевые адреса (МАТ) и предоставляет службу ОНСР, чтобы систе- 
мы в частной сети могли маршрутизироваться через систему Глпих с помощью 
частных ІР-адресов. (См. главу 25 «Защита Глпах в сети», чтобы узнать о работе 
с правилами брандмауэра Глпих с помощью функции ір+ађ1еѕ.) 


Настройка пих в качестве ОНСР-сервера 


Система Глпих не только способна использовать ОНСР-сервер для получения 
своего ІР-адреса и другой информации, но и может быть настроена на работу 
в качестве ОНСР-сервера. В своей самой простой форме ОНСР-сервер может вы- 
давать ІР-адреса из пула адресов любой системе, которая запрашивает ІР-адрес. 
Однако обычно ОНСР-сервер также распределяет местоположения О№ -серверов 
и шлюза по умолчанию. 

Настройка ОНСР-сервера не так проста и требует предварительной подготовки. 
Не добавляйте ОНСР-сервер в сеть, которую вы не контролируете и в которой 
уже есть работающий ОНСР-сервер. Многие клиенты получают информацию об 
адресах от любого ОНСР-сервера, который ее раздает. 

Служба ОНСР предоставляется пакетом аНср-5егуег в системах Еейога 
и ВНЕГ. Сама служба называется апсра. Основным файлом конфигурации явля- 
ется файл /еёс/аһср/аһсра. соп для сетей ІРу4 (в том же каталоге находится файл 
Айсраб . соп+ для сетей ГРуб). По умолчанию демон апсра прослушивает ООР-порт 67, 
поэтому его нужно оставить открытым на локальном брандмауэре. 

Чтобы настроить ОНСР-сервер, можно скопировать файл аһсра. соп#.ехатр1е 
из каталога /изг/зНаге/аос/айср-зегуег, заменить им файл /еёс/аһср/аһсра. соп+, 
а затем изменить его по своему усмотрению. Однако перед применением этого 
файла нужно изменить параметры доменного имени, чтобы домен и диапазоны 
ТР-адресов соответствовали тем, которые вы используете. Комментарии в файле 
помогут сделать это. 

При установке некоторых виртуальных и облачных служб в системе Глпих 
ОНСР-сервер настраивается по умолчанию под пользователя. Например, когда вы 
устанавливаете программу КУМ и запускаете службу 11ібуіг+а в системе ВНЕГ. 
или Еедога, она автоматически настраивает частную сеть по умолчанию в диапазо- 
не адресов 192.168.122.0/24. При запуске виртуальных машин им присваиваются 
ТР-адреса из данного диапазона. После установки и запуска службы Ооскег в этих 
дистрибутивах она настраивает частную сеть и раздает ІР-адреса контейнерам 
оскКег, запущенным в этой системе. 


Настройка Шпих в качестве О№5-сервера 


В пах большинство профессиональных серверов системы доменных имен (05) 
реализовано с помощью службы Вегкееу Іпќегпеё Мате Оотаір (ВІЧ). В системах 
Ее4ога и ВНЕГ. для этого необходимо установить пакеты біпа, 51 па-и{11$ и 61 па- 
116$. Для дополнительной безопасности можно установить пакет біпа-сһгоої. 
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По умолчанию пакет ріпа настраивается путем редактирования файла /е+с/ 
патеа. соп+. Сопоставление имени хоста с ІР-адресом выполняется в файлах, рас- 
положенных в каталоге /уаг/патеа. Если установить пакет 64па-спгоо*, файлы 
конфигурации біпас перемещаются в каталог /маг/патей/сһгооё, который попы- 
тается скопировать из каталогов /еёс и /маг файлы, необходимые для настройки 
ріпа, чтобы именованный демон (который предоставляет службу) был подключен 
к структуре каталогов /еёс/патеа/ сһгоо+. 

Если вы хотите опробовать работу пакета 61па, я рекомендую начать с на- 
стройки О№Ѕ-сервера для небольшой домашней сети, не выходя за границы 
брандмауэра. Вы можете заблокировать ІР-адреса компьютеров в своем доме, 
подключив МАС-адреса карты сетевого интерфейса каждого компьютера к опре- 
деленным ІР-адресам на ОНСР-сервере, а затем сопоставив эти имена с адресами 
на О№5-сервере. 


ВНИМАНИЕ 


Имейте в виду, что прежде, чем создавать общедоступный О№-сервер, необходимо правильно защитить свой 
0№-сервер. Публичный 0№5-сервер можно взломать и перенаправлять с него трафик на любой другой сервер. 
Таким образом, при использовании такого сервера вы рискуете нарваться на нежелательные и опасные для си- 
стемы сайты. 


Настройка Шпих в качестве прокси-сервера 


Прокси-сервер позволяет ограничивать сетевой трафик из частной сети в обще- 
доступную, например в Интернет. Такие серверы позволяют ограничивать доступ 
к определенным сайтам, что полезно, например, на школьных компьютерах или 
компьютерах сотрудников предприятия. 

Настройка пих в качестве маршрутизатора и прокси-сервера в домашней сети 
позволит контролировать доступ в Интернет только по определенным протоколам 
и лишь после фильтрации трафика. 

Используя прокси-сервер Заша, который поставляется с большинством систем 
Тіпих (пакет ѕаоіа в Еедога и ВНЕГ.), вы можете включить систему для приема 
запросов к веб-серверам (НТТР и НТТРЅ), файловым серверам (ЕТР) и другим 
протоколам. Можете определить, какие системы будут задействовать ваш прокси- 
сервер (ограничив по имени хоста или [Р-адресу) и даже какие сайты они могут 
посещать (задав определенный адрес, диапазон адресов, имя хоста или доменные 
имена). 

Настройка прокси-сервера $4и14 так же проста, как установка пакета ѕаџіа, 
редактирование файла /е{с/з4и19/заи14. соп и запуск службы ѕдиіа. Файл по- 
ставляется с минимальными рекомендуемыми настройками. Однако вы можете 
определить хосты (на основе ІР-адреса или имени), которым нужно разрешить 
использовать эту службу. Существуют черные списки (находятся в службе 
ѕдиіа), которые позволяют запретить, например, детям доступ к целым наборам 
сайтов. 
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Резюме 


Большинство сетевых подключений с настольного компьютера Глпих или ноутбука 
реализуются практически без вмешательства пользователя. Если вы задействуете 
утилиты Меб\уогкМапабег по проводному или беспроводному Ефегпе(-соединению, 
адрес и информация о сервере, необходимые для запуска, автоматически поступают 
с ОНСР-сервера. 

С помощью графического интерфейса МеіуогкМапавег можно настроить сеть 
под свои нужды. Вы можете установить статические ІР-адреса и использовать ком- 
пьютеры сервера имен и шлюза. Чтобы выполнить вручную сложную настройку 
сети, перейдите к непосредственной работе с файлами конфигурации сети. 

Файлы конфигурации сети в пих можно применять для настройки более про- 
двинутых функций, таких как объединение каналов Еёћегпе. 

Помимо основных настроек сетевого подключения, в [лпих доступны функ- 
ции, которые позволяют предоставлять типы служб для сетевой инфраструктуры. 
В этой главе говорится о службах и функциях, таких как маршрутизация, ОНСР- 
и О№5-серверы. Их необходимо знать, чтобы работать с продвинутыми сетевыми 
функциями в пих. 

Настроив свою сеть, можно перейти к настройке служб для работы по сети. 
В главе 15 «Запуск и остановка служб» описываются инструменты, необходимые 
для включения, отключения, запуска, остановки и проверки состояния служб 
в системе пих. 


Упражнения 


Упражнения этого раздела позволяют изменить сетевые интерфейсы в вашей си- 
стеме Глпих, а также понять, как настроить более продвинутые сетевые функции. 
Выполните их в системе пих, у которой есть активное сетевое соединение и все 
в порядке с сетевой активностью. 

Советую выполнять эти упражнения непосредственно из консоли компьютера 
(другими словами, не подключаясь к компьютеру через службу $51). Некоторые 
из выполняемых вами команд могут прервать подключение к сети, а ошибки в не- 
которых настройках могут привести к тому, что компьютер будет временно недо- 
ступен для сети. 

Как всегда, Глпих позволяет решать задачи несколькими способами и не только 
так, как указано в ответах. Если затрудняетесь с решением заданий, воспользуйтесь 
ответами к упражнениям, приведенными в приложении Б. 


1. С рабочего стола проверьте, успешно ли утилита Меб\уогкМапазег запустила 
сетевой интерфейс (проводной или беспроводной) в сеть. Если нет, то попро- 
буйте запустить свой сетевой интерфейс. 


2. Выполните команду для проверки активных сетевых интерфейсов, доступных 
на вашем компьютере. 


10. 
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Попробуйте связаться с сайтом доодіе.сот из командной строки таким образом, 
чтобы служба ОМ$ работала правильно. 


Выполните команду для проверки маршрутов, используемых для связи за 
пределами вашей локальной сети. 


Проследите маршрут, по которому осуществляется соединение с сайтом дооде.сот. 
Просмотрите сетевую активность своей системы Глпих из веб-интерфейса 
СосКріс. 

Создайте запись хоста, которая позволит связаться с вашей локальной хост- 
системой с помощью имени туомпћоѕ. 


Определите адреса 0№-серверов, которые используются для преобразования 
имен хостов в ІР-адреса в системе, а затем проверьте, какие из них запрашива- 
ются из вашей системы, чтобы найти нужный ГР-адрес для соединения с сайтом 
дооде.сот. 

Создайте пользовательский маршрут, который направляет трафик, предна- 
значенный для сети 192.168.99.0/255.255.255.0, на ІР-адрес в вашей локальной 
сети, например на 192.168.0.5 (сначала убедитесь, что сеть 192.168.99 не задей- 
ствуется). 


Проверьте, настроена ли в вашей системе маршрутизация пакетов ІРу4 между 
сетевыми интерфейсами. 


Запуск и остановка 
служб 


В этой главе 


и Службы инициализации Ипих. 

и Проверка служб, управляемых демонами пих. 
и Остановка и запуск служб. 

ш Изменение уровня выполнения сервера Шпих. 
и Удаление служб. 


Основная задача серверной системы Глпих — предоставлять службы локальным 
или удаленным пользователям. Сервер может давать доступ к веб-страницам, 
файлам, информации баз данных, потоковой музыке или другим типам данных. 
Серверы имен могут предоставлять доступ к спискам хост-компьютеров или 
именам пользователей. Сотни этих и других типов служб можно настроить в си- 
стемах Глпих. 

Локальные службы в системах Глпих, такие как доступ к принтеру или вход 
в систему, обычно реализуются с помощью демон-процессов. Большинство 
систем Гіпих позволяют управлять каждым демоном как службой с помощью 
одной из нескольких популярных систем инициализации, также называемых 
ши-системами. Преимущества использования системы инициализации позво- 
ляют следующее. 


® Определить уровень выполнения. Объедините наборы служб в так называемые 
целевые уровни выполнения. 


ө Установить зависимости. Установите зависимости служб таким образом, что- 
бы, например, служба, требующая сетевых интерфейсов, не запускалась до тех 
пор, пока все службы запуска сети не будут успешно активизированы. 


ө Установить уровень выполнения по умолчанию. Выберите, какой уровень вы- 
полнения будет запускаться при загрузке системы (по умолчанию). 
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ө Управлять службами. Запускайте команды, которые указывают отдельным 
службам запускать, останавливать, приостанавливать, перезапускать или даже 
перезагружать файлы конфигурации. 


Сейчас в системах Гпих применяются несколько различных систем инициа- 
лизации. Какая из них используется, зависит от дистрибутива Глпих и его версии. 
В этой главе я расскажу о системах инициализации, которые работали в Еейога, 
Веа Наё Ещегризе Глпах, ОБапа и многих других дистрибутивах Глпих. 


ө ЗузУши. Эта система инициализации была создана для систем МХ Ѕуѕќет У 
в начале 1980-х годов. Она использует простой для понимания метод запуска 
и остановки служб на основе уровня выполнения. Еще несколько лет назад 
большинство систем МХ и Глпих работали с ЗузУши. 


ө Зузета. Последние версии Еедога и ВНЕГ. применяют систему инициали- 
зации ѕуѕќета. Это и самая сложная, и наиболее гибкая по конфигурации из 
іпіє-систем. Ѕуѕ+ета не только предлагает функции для запуска и работы со 
службами, но и позволяет управлять сокетами, устройствами, точками монти- 
рования, областями подкачки и другими типами устройств. 


ПРИМЕЧАНИЕ 


В более старой версии дистрибутива Џбипїќи в качестве системы инициализации использовалась система Иран. 
Начиная с версии ЏБипќи 15.04 (выпущена 28 апреля 2015 года), она была заменена демоном инициализации 
системы. Поэтому в данной книге мы не будем рассматривать систему Џрѕќагї. 


В этой главе описываются системы инициализации 5уѕУіпії и ѕуѕёета. В про- 
цессе использования іпіё-системы, соответствующей вашему дистрибутиву Глпих, 
вы узнаете, как идет процесс загрузки для запуска служб, как запускать и останав- 
ливать службы по отдельности, а также как включать и отключать службы. 


Демон инициализации (тЁ или у$ета) 


Перед тем как перейти к управлению службами, необходимо понять, как работает 
демон инициализации. Демон инициализации можно рассматривать как «отца всех 
процессов». Он является первым процессом, который запускается ядром на сервере 
Тіпих. Демон инициализации для дистрибутивов пих, использующих ЗузУ пи, так 
и называется — 1114. В системе зуз ета демон инициализации называется ѕуѕёета. 

Ядро Глпих имеет идентификатор процесса (РТО) 0. Таким образом, демон 
процесса инициализации (1п1* или ѕуѕёетӣ) имеет РРІР (идентификатор роди- 
тельского процесса) 0 и РТО 1. После запуска іпі+ отвечает за запуск процессов во 
время загрузки сервера, таких как оболочка входа в систему (процессы веї+у или 
піпвеёеу). Он также отвечает за управление службами. 

Демон іпі+ в Ііпих был основан на демоне іпіє из ОМІХ Ѕуѕќет У. Именно по- 
этому он называется демоном зузУтши. Однако это не единственный классический 
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іпі+-демон. Демон 1п1* не является частью ядра Глпих, поэтому он может быть 
абсолютно разным, и дистрибутивы Глпих выбирают, какой тип использовать. 
Второй классический 1п1«-демон был основан в системе Вегк@еу ОМІХ (В$О). 

Классические демоны 1п1* работали без проблем в течение многих лет. Однако 
они были созданы для работы в статической среде. По мере появления нового обо- 
рудования, например ОЗВ-устройств, у классических демонов 1п1* возникли про- 
блемы в работе со съемными устройствами. Компьютерное оборудование вместо 
статического стало событийным. Для работы с этими средами требовались новые 
демоны іпіє. Кроме того, по мере появления новых служб классическим демонам 
іпіє приходилось запускать все больше и больше дополнительных служб. В итоге 
процесс инициализации системы стал менее эффективным и в конечном счете 
сильно замедлился. 

Современные демоны инициализации решают подобные проблемы неэффек- 
тивной загрузки системы и нестатических сред. Самый популярный из новых 
демонов инициализации — ѕуѕќета. Дистрибутивы ОЪипќи, КНЕГ и Еейога уже 
перешли на демон зуз+емта, сохраняя обратную совместимость с классическими 
пакетами ЗузУши, Орѕќагё или ВЅР”. 

Демон ѕуѕ+ета был написан Леннартом Пёттерингом, разработчиком Веа 
Наб. Описание демона доступно по адресу йосѕ.ѓейогаргојесі.ого/еп-ОЅ/аиіск-аосѕ/ 
ипаегѕїапаіпо-апа-аатіпіѕїегіпо-ѕуѕіета. Сейчас он используется всеми последними 
версиями Еейога, КНЕТ, ОрепЅ$0$Е и ОБапа. 

Чтобы правильно управлять своими службами, необходимо знать, какой демон 
инициализации применяется на сервере. Выяснить это может быть довольно про- 
блематично. Процесс инициализации ЗузУшй или Орзбагё называется одинако- 
во — іпіё. Демон для первых систем инициализации ѕуѕёета также назывался іпіќ, 
но в последних версиях переименован в ѕуѕ+ета. Запустите команду рѕ -е, чтобы 
узнать, использует ли ваша система демон ѕуѕёета: 


# рѕ -е | һеаа 


РІР ТТҮ ТІМЕ СМО 
12? 00:04:36 зуз{ета 
2? 00:00:03 КЕНгеааа 
3? 00:00:15 Кзо+Е1гаа/е9 


Если в вашей системе РТО 1 является демоном 1п1\, загляните на страницу об 
іпіє в «Википедии» (мікіреаіа.ого/мікі/Тпі), в раздел О(ћег ітріетепќёаќіопрѕ. Это по- 
может понять, является ли ваш іпіє-демон ЅуѕУіпі, Орзбаг или какой-либо другой 
системой инициализации. 


Классические демоны инициализации 


Классические демоны инициализации ЗузУшй и ВЗО заслуживают внимания, 
даже если ваш Глпих-сервер задействует другой демон іпі+. Новые демоны іпіё 
не только используют обратную совместимость с классическими — многие даже 
основаны на них. 
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Классические демоны іпіє ЅуѕУіпі и ВЅр работают схожим образом. Изначаль- 
но они сильно отличались друг от друга, но со временем существенных различий 
осталось очень мало. К примеру, более старый демон ВЗО іпіє раньше получал 
информацию о конфигурации из файла /еёс/++у+ар. Теперь, как и ЗузУттй, демон 
ВЅр іпі+ берет информацию о конфигурации во время загрузки из файла /еёс/ 
іпіёёар. Далее приведен пример классического файла зузУшй /еёс/іпіёбаб: 

# саф /еЁс/іпії+аб 
# іпібёаб Тһіѕ +11е ӣеѕсгібеѕ һом Ёһе ТМТТ ргосеѕѕ ѕһои1а ѕе ир 


# реҒаи1 гип1еме1. Тһе гип1еме15 иѕеа бу КН$ аге: 
9 — Һа1+ (Бо МОТ зе 1п1{4ефаи1* +о +115) 


— гебооф (ро МОТ зе іпі+аеҒаи1+ Фо +115) 


# 

# 1 – Ѕіпр1е иѕег тое 

# 2 – Ми1+іиѕег, по М5 (Ѕаме аз 3, 1+ уои йо поё һауе пеёмогкіпе) 
# 3 – Еи11 ти1%іцѕег моде 

# 4 – ипиѕеа 

# 5= ХІ 

# 6 

# 


14:5: 111 де+аи1*: 


# бузфет іпібіа1іғаііоп. 
51::5уѕіпії: /еёс/гс.а/гс.ѕуѕіпії 


10: 
11: 
12 
13: 
14: 
15: 
16: 


мате: /еёс/гс.а/гс 
маі: /еёс/рс.а/гс 
маі: /еёс/гс.а/гс 
маі: /еЁс/рс.а/гс 
мал: /еёс/рс.а/гс 
маі: /еёс/гс.а/гс 
маі: /еёс/рс.а/гс 


лаивроюно 
ол шом нь ә 


# Тгар СТАЕ -АІТ-РЕГЕТЕ 

са: :сіг1а1+ае1: /ѕріп/ѕһиёдӣомп -{3 -г пом 
рф: :ромег+аїі1: /ѕ5ріп/ѕћиёӢомп -+ -һ +2 
"Ромег Ғаі1иге; Ѕуѕёет Ѕһћиёёіпе ромп" 


# ТЕ ромег маѕ гезфогед беҒоге {Ве Нифонт Ккіскеа іп, сапсе1 1+. 
рг:12345 : ромегокмаїї : / ѕ5ріп/ ѕћиёаомп -с 
"Ромег Кеѕёогеа; Ѕһиёдомп Сапсе11еа" 


Кип ве у$ іп $фапдага гип1е\уе1$ 
:2345 : гезраип: /ѕріп/тіпреёёу ++у1 
:2345 : гезраип: /ѕ5ріп/тіпреёёу ++у2 
:2345 : гезраип: /$61п/т1пвеефу ++уз 
:2345 : гезраип: /ѕ5ріп/тіпреёёу ++у4 
:2345 : геѕрамп: /ѕ5ріп/тіпреёёу ++у5 
12345 : гезраип: /ѕріп/тіпреёёу ++уб 


ол әш мњ + 


Кип хат іп гип1еме1 5 
:5 : гезрамп: /еёс/Х11/ргеҒат -подаетоп 


х + 
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Файл /еїс/іпії+ар сообщает демону іпі, какой уровень выполнения является 
уровнем по умолчанию. 

Уровень выполнения — это номер классификации, который определяет, какие 
службы запускаются, а какие останавливаются. В предыдущем примере уро- 
вень выполнения по умолчанию, 5, устанавливается с идентификатором строки: 
5:1п1аефаи1*:. В табл. 15.1 показаны семь стандартных уровней запуска Глпих. 


Таблица 15.1. Стандартные уровни выполнения Шпих 


Уровень Название Описание 

выполнения 

0 Завершение работы Все службы отключены, сервер остановлен 
компьютера 

1 или 5 Однопользовательский | Учетная запись суперпользователя автоматически 
режим регистрируется на сервере. Другие пользователи 


не могут войти на сервер. Доступен только интерфейс 
командной строки. Сетевые службы не запускаются 


2 Многопользовательский | Пользователи могут войти на сервер, но им доступен 
режим без поддержки только интерфейс командной строки. В некоторых 
сети системах сетевые интерфейсы и службы 


запускаются, в других — нет. Первоначально 
этот уровень выполнения применялся для 
запуска неинтеллектуальных терминалов, чтобы 
пользователи могли войти в систему (но сетевые 
службы не запускались) 


З Многопользовательский | Пользователи могут войти на сервер, но им доступен 
режим без поддержки только интерфейс командной строки. Запускаются 
сети сетевые интерфейсы и службы. Это общий уровень 


выполнения для серверов 


4 Пользовательский Пользователи могут настроить этот уровень 
уровень выполнения самостоятельно 

5 Многопользовательский | Пользователи могут войти на сервер. Доступны 
режим с поддержкой командная строка и графический интерфейс. 
сети и графической Запускаются сетевые службы. Это общий уровень 
оболочки выполнения для настольных систем 

6 Перезагрузка Сервер перезагружается 
компьютера 


Дистрибутивы Глпих могут немного различаться в определении каждого уровня 
выполнения, а также в том, какие уровни применяются. 


ВНИМАНИЕ! 


Единственные уровни выполнения, которые могут использоваться в файле /еїс/іпіќар, — это уровни от 2 до 5. 
Другие уровни могут вызвать проблемы. Например, если поместить уровень 6 в файл /еќс/іпіќќар по умолчанию, 
то при перезагрузке сервера он войдет в цикл и будет перезагружаться снова и снова. 
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Уровни выполнения используются не только в качестве уровня по умолча- 
нию в файле /ес/іпіёёаь. Их можно вызвать и с помощью самого демона іпіё. 
Поэтому, если нужно немедленно остановить свой сервер, введите команду іпіё 
в командной строке: 


# ии е 
бузЕет #0115 аомп Ғог ѕуѕ+ет һа1+ МОм! 


Команда іпі принимает любые уровни выполнения из табл. 15.1, что позволяет 
быстро переключать сервер из одной категории уровней в другую. Например, если 
нужно устранить неполадки, которые требуют отключения графического интер- 
фейса, введите команду іпіё 3 в командной строке: 

# ши З 

ІМІТ: Ѕепіпе ргосеѕѕеѕ һе ТЕКМ ѕірпа1 

$$аг{1п5 1габа1апсе: [ок ] 
ЗфагЕ1пв ѕеігоиб1еѕһооќ+а: 

5{аг{1п5 Ғиѕе: Ризе Ғі1еѕуѕет а1геайу ауа11аб1е. 


ЗфагЕ1па сопѕо1е тоиѕе ѕегуісеѕ: Гок ] 


Чтобы увидеть текущий уровень выполнения своего Глпих-сервера, просто 
введите команду гип1е\уе1. Первый элемент вывода — это предыдущий уровень 
выполнения сервера, который в примере далее равен 5. Второй элемент вывода 
отображает текущий уровень выполнения сервера, который в примере равен 3: 


$ гип1еме1 
5 3 


Кроме команды іпі+, можно применять команду ќе1іпі, которая работает точ- 
но так же. В следующем примере команда +е1іпії используется для перезагрузки 
сервера, переводя его на уровень выполнение 6: 


# +е1іпії 6 
ІМІТ: ЅепЯіпе ргосеѕѕеѕ һе ТЕКМ ѕірпа1 


ЅһиЁіпе аомп ѕтаг+а: Г ок ] 
Ѕһиёёіпе аомп Амаһі даетоп: Г ок ] 
Ѕеорріпе аһсаба: Г оК ] 
Ѕорріпе НАГ даетоп: Гок ] 
Ѕёагііпр Кі11а11: 

Ѕепаіпв а11 ргосеѕѕеѕ {Пе ТЕВМ ѕірпа1... Гок ] 
Ѕепаіпв а11 ргосеѕѕеѕ {Пе КІШ ѕірпа1... Г оК ] 
Оптоипёіпе +11езу${ет$ Гок ] 


Р1еаѕе ѕ+апа Бу мһі1е герообіпе Пе ѕуѕбет 


На только что запущенном сервере пих текущий номер уровня выполнения 
должен совпадать с номером уровня по умолчанию в файле /еёс/іпії+аь. Одна- 
ко обратите внимание на то, что предыдущий уровень выполнения в следующем 
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примере равен М. Это значение (№опехіѕ+еп+) говорит, что сервер был недавно за- 
гружен на текущий уровень выполнения: 


Ф гип1еме1 
М 5 


Как же сервер узнает, какие службы остановить и какие запустить, когда выбран 
определенный уровень выполнения? При выборе уровня выполнения запускаются 
скрипты, расположенные в каталоге /еёс/гс.ӣ/гс#.а, где # — выбранный уровень 
выполнения. Эти скрипты запускаются независимо от того, выбран ли уровень 
выполнения через загрузку сервера и используется ли параметр /ес/іпіїёар 
іпіёдеғаи1+ или команда 1п1* либо е1іпі+. Например, если выбран уровень вы- 
полнения 5, то все скрипты в каталоге /езс/гс.а/гс5.а будут запущены. Ваш спи- 
сок будет отличаться от приведенного далее в зависимости от того, какие службы 
вы установили и включили: 


$ 15 /еЁёс/гс.ӣ/гс5.а 


К01$то1 + К88ира_зирр11сапЕ — $22теззавеби$ 
К@2амаһі-апѕсопға к89аипа $2561 иефооН 
КӨ2№Ме+могКкМапарег К89пеЕр1и?2а $25+и5е 
КӨ2№Ме+могкМапарегріѕраёсһег К89рапа 525пе+Ё+#5 
К@5ѕаѕ1аи+һа К89гаіѕс 525рсѕса 

К10ас ѕегуег К91сар1 <526һіаа 
К1Өрѕассі ЅдӘтісгосойе с+1 <526иӣеу-роѕі 
К12ас с1іепі ЅӘ4геайаһеаа еаг1у 528аи+о+5 
К152рт 5@5Киати $501р11р 

К15 Пера 5@6сризрееа 555сирѕ 

К20п+#5 508ірб+аЬ1еѕ 55555һа 

К241гда $@81рЕаб1е$ <58@ѕепатаі1 
к255диіа 50915ап $90Сопзо1еК1+ 
КЗ@5рата$$а$$1п $19 пеёмогКк 590 сгопа 
КЗ5упсзегуег 511аџаі+а 590х#5 
К5дпесопѕо1е $12гезфогесопа $95апасгоп 
К5@Еих 5125у510р 595а+а 
Кб9грсѕусе554 $131габа1апсе <96геайаһеаа 1а+ег 
К7Зміпріпа 513тсѕігапѕ 597аһсара 
К7Зурбіпа 513грсБбіпа <597уит-ираа+еѕа 
К74пѕса 5135ѕеёгоибр1еѕһооё& 598ауаһі-даетоп 
К74п+ра 514п#510осКк Ѕ98һа1дӢаетоп 
К840+ѕееа <15татопіёог $99 1г5ЕБоо{ 
К84БЕЕгаск $18грс1атара $991оса1 
К87ти1%іра+һа 519грсеѕ5а <5995таг+а 


Обратите внимание на то, что некоторые скрипты в каталоге /ефс/гс.а/гс5.4 
начинаются с буквы К, а некоторые — с $. Значение К относится к скрипту, кото- 
рый немедленно останавливает процесс. Значение 5 относится к скрипту, который 
запускает процесс. Кроме того, каждый К- и $-скрипт имеет номер службы или 
демона, которыми они управляют. Это позволяет останавливать или запускать 
службы в определенном порядке. Например, благодаря этому сетевые службы 
Глпих-сервера не будут запускаться до запуска самой сети. 


Глава 15. Запуск и остановка служб 425 


Каталог /еёс/гс.ӣ/гс#.а существует для всех стандартных уровней запуска 
Глпих. Каждый из каталогов содержит скрипты для запуска и остановки служб 
своего конкретного уровня выполнения: 


$ 15 -а /еїс/гс.а/гс?.а 
/ес/гс.а/гсё.а /еїс/гс.а/гс2.а /еёс/гс.а/гс4.4а /еЁс/гс.а/гс6.а 
/ес/гс.а/гс1.4а /еїс/гс.а/гсз.а /еЁс/гс.а/гс5.а 


На самом деле файлы в каталогах /ес/гс.1/с#.ӣ являются не скриптами, 
а символическими ссылками на скрипты в каталоге /еёс/пс.а/іпіє.а. Таким об- 
разом, нет необходимости в копировании определенных скриптов. 


# 15 -1 /ефс/гс.а/гс5.9/К15ИЕЕра 

1гмихгихгих 1 гоо гоо 15 Осі 10 08:15 
/еёс/гс.а/гс5.а/К15һЕЄра -> .. /іпі+.а/һёёра 
$ 15 /еїс/гс.а/іпі+.а 


апасгоп Фипс1оп$ ти1+іра+һа грсіатара 

а+а Ғиѕе пеёсопѕо1е грс$\с5$$4 
аџаі+а врт пе $ ѕаѕ1аи+һа 
аиоғѕ һа1ааетоп  пефр1ива ѕепатаі1 

амаһі -даетоп һа1+ пемогКк ѕегоиб1еѕћоо 
амаһі-апѕсопға һіаа МемогКМапавег ѕіпв1е 

Б1иефоо В һр1ір МеёмогКМапавегріѕраїсһег ѕтаг+а 

Е 5ееа [$49146 п#5 Ѕѕто1+ 

БЕЕгаск ВЕЕра п+$10скК ѕратаѕѕаѕѕіп 
сарі ірбёаб1еѕ пѕса ѕачіа 
Сопѕо1екі+ ірёаБ1еѕ пра ѕ5һа 

сриѕрееа ігаа рапа Ѕуѕ1ор 

сгопа 1габа1апсе рсѕса Фих 

сирѕ іѕап рѕассї иаеу-роѕё 
сирѕ-сопҒіє-Ядаетоп Кі11а11 гаіѕс упсѕегмег 

ас с1іепё Киати геааһеаа еаг1у міпбіпа 

ас _ѕегуег тсѕ&гапѕ геааһеаа 1а+ег мра_ѕирр1ісап 
аһсара татопіёог  гезфогесопа х#5 

ачпа теѕѕарериѕ грсбіпа урбіпа 
Ғігѕбоо+ тісгосоде грсеѕ5а уит-ираа+еѕа 


Обратите внимание на то, что каждая служба имеет один скрипт в файле /еїс/ 


гс.й/іпіє.а. Не существует отдельных скриптов для остановки и запуска службы. 
Эти скрипты останавливают или запускают службу в зависимости от того, какой 
параметр передается им демоном іпії. 

Каждый скрипт в файле /еёс/ес.4/іпі+.а делает все, что необходимо для запу- 
ска или остановки конкретной службы на сервере. Далее приведена часть скрипта 
Пера в системе Глпих, использующей демон ЗузУшй. Пример содержит оператор 
для обработки переданного ему параметра ($1), к примеру $+аг*, ѕ&ор, $Фафи$ т. д.: 
# саї /еїс/гс.а/іпі+.а/һіё+ра 
#1 /ріп/баѕћ 
# 

# Һера 
# 
# сһксопҒір: — 85 15 


Зфагфир ѕсгірі Фог һе Арасһе НТТР $егуег 
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# деѕсгірііоп: Арасһе 1$ а Мог1а И1ае МебБ зегуег. 
# ІЄ 15 иѕеа фо ѕегуе \ 

# НТМ #11еѕ апа ССІ. 

# ргосеѕѕпате: Пра 

# соп+18: /ефс/ИЕЕра/ соп+/ Пера. сопғ 

# соп+18: /еїс/ѕуѕсопҒір/һіёра 

# ріағі1е: /маг/гип/һёёра.ріа 


# Ѕоигсе Ғипсёіоп 116гагу. 
. /еїс/гс.а/іпіё.а/ Ғипсёіопѕ 


# Ѕее һом ме меге са11еа. 
саѕе "$1" іп 
ѕ+агі) 
5фаге 
55 
ѕ+ор) 
ѕ+ор 
55 
ѕёаїиѕ) 
эфафи$ ФПЕЕра 
ВЕТ\АЕ=$? 


2) 
еѕас 
ехії $ВЕТ\УАЕ 


После отработки скриптов уровня выполнения из соответствующего ката- 
лога /еёс/гс.а/гс#.а процесс запуска демона 5уѕУіпі завершается. Последнее, 
что делает процесс 1п1* на этом этапе, — выполняет какие-либо дополнительные 
указания из файла /ес/іпії+аь (например, создать процессы тіпвеї+у для вир- 
туальных консолей и запустить интерфейс рабочего стола, если вы находитесь на 
уровне запуска 5). 


Система инициализации ѕуѕќета 


Демон инициализации ѕуѕёета — это замена демонам $уѕУіпі и (Ј7рѕѓагі. Этот 
современный демон инициализации был добавлен в дистрибутивы Еедога 15 
и ВНЕГ, 7 и используется до сих пор. Он имеет обратную совместимость с ЗузУпие 
и Ор$аге. Время инициализации системы демоном зуз{ета сокращается, поскольку 
он может запускать службы параллельно. 


Основы работы демона у$ета 


С помощью демона ЗузУш к службы останавливаются и запускаются на основе 
уровней выполнения. Служба ѕуѕета занимается уровнями выполнения, но 
реализует их по-другому — с помощью так называемых юнитов целей (баг5е 
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0115). Хотя основная задача функции зу%ета заключается в запуске и оста- 
новке служб, она может управлять также другими типами объектов, называемых 
юнитами. Юнит — это группа, состоящая из имени, типа и файла конфигурации 
и реализующая определенную службу или действие. Существует 12 типов юни- 
тов зузета: 

аифоточцит; 

деуісе; 

топ; 

рати; 

ѕегуісе; 

ѕпарѕћһо+; 

ѕосКке+; 

Тагвеї; 

{1тег; 

мар; 


$11се; 


соре. 


Два основных юнита зузета, с которыми вы будете иметь дело в ходе работы 
со службами, — это сервисные и целевые юниты. Сервисные юниты используются 
для управления демонами на сервере Глпих. Целевой юнит — это просто группа 
других юнитов. 

В следующем примере показаны несколько сервисных и целевых юнитов 
суета. Имена сервисных юнитов похожи на имена демонов, например сирѕ и $514. 
Обратите внимание на то, что каждое имя сервисного юнита заканчивается на 
.зегу1се. Целевые юниты имеют такие имена, как ѕуѕіпії (ѕуѕіпії используется 
для запуска служб при инициализации системы). Имена целевых юнитов закан- 
чиваются на .Ёагвеї: 


# ѕуѕіетс+1 115+-ипіїѕ | ргер .ѕегуісе 


сирѕ.ѕегуісе Іоайеа асііуе гиппіпе СУР$ Ргіпёіпе Ѕегуісе 
абиѕ.ѕегуісе 1Іоайеа асііуе гиппіпе р-Виѕ Меѕѕаре Виѕ 


МеёмогКМапарвег.ѕегмісе 1Іоааеа ас+іуе гиппіпе МефмогК Мапарег 


ргеғат. ѕегуісе 1Іоайеа асііуе гиппіпе ріѕр1ау Мапазег 
гетоип{ -гооЁ#5.ѕегуісе 1оааеа ас+іуе ехіёќеа Кетоупе Коо Е5 
гѕуѕ106.ѕегмісе 1Іоайеа асііуе гиппіпе Ѕуѕбет 1082118 
ѕ5һа.ѕегуісе Іоайеа асііуе гиппіпе Орепѕ5Н зегуег даетоп 


ѕуѕіета-1оріпа. ѕегуісе 1оа4е асііуе гипп1па Іоріп Ѕегуісе 


# ѕуѕіетс+1 1151-ипіЁѕ | ргер .+агве+ 
раѕіс.+агре+ Іоайеа асііуе асііуе Ваѕіс Ѕуѕ+ет 
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сгурёѕе+ир.агреї 1оа4еЯ асііме асііме Епсгурфеа \Мо1итез$ 
веї+у.+агреї 1Іоайеа асЕ1\уе асііме Іоріп Рготр+ѕ 
вгарһіса1.агреї 1Іоайеа асііме асііме бгарһіса1 ТпфегФасе 
Іоса1-#5-рге.+агре+ 1Іоайеа асііме асёіме Іоса1 Е11е Ѕуѕ+етѕ (Рге) 
Іоса1-#5.+агреї Іоайеа асііме асёіме Іоса1 Е11е Ѕуѕіетѕ 
ти161-иѕег.ёагре+ 1оайеа асііме асёіме Ми1+і-Оѕег 

пеёмогк. агре 1оа4еЯ асііме асііуе Ме+могКк 

гето+е- #5 .+агреЁ Іоайеа асііме асііуе Кетоте Е11е Ѕуѕ+етѕ 
ѕоске+ѕ . агре 1оайеа асііме асііуе Ѕоске+ѕ 

ѕоипа.Фагре+ 1оайеа асііме асёіуме Ѕоипа Сага 
ѕмар.Фагрвеї 1Іоайеа асііме асііуе Ѕмар 

ѕуѕіпі+. агре 1Іоайеа асііме асііме Ѕуѕ+ет Іпі+іа1іғабіоп 
5у510р.Фагреї 1оайеа асііме асііуе 5уѕ1ор 


Файлы конфигурации системы Гпах находятся в каталогах /116/ѕуѕёета/ 
ѕуѕбет и /ес/ѕуѕёета/ѕуѕет. Вы можете использовать команду 15 для просмотра 
этих каталогов, но предпочтительнее делать это с помощью параметров команды 
ѕуѕёетс+1 следующим образом: 


# ѕуѕёетс+1 115+-ипії-Ғ11е5ѕ --+уре=ѕегуісе 


ОМІТ РТЕЕ ЅТАТЕ 
иркен дев епаб1еа 
рое вриб се ѕа+іс 
Ма ева епаб1еа 
ОШСКОЕ «ерек $фае1с 
Виа епаб1еа 
5554. ѕегуісе аіѕаб1еа 


276 ипії +11е5 11іѕ+еа. 


Все файлы конфигурации юнита, показанные в предыдущем примере, связаны 
с сервисным юнитом. Файлы конфигурации для целевых юнитов отображаются 
следующим образом: 


# зузфетсЕ1 1151+-ипії-Ғ11еѕ - -+уре=+агреї 


ОМІТ РІІЕ ЅТАТЕ 
апасопаа. агре $фаЕ1с 
браѕіс.Фагре+ $фаЕ1с 
Бр1ие+оо+ћ. агре ${а+1с 
сгурЕ5ефир .Тагве* $фа{1с 
сёг1-а1+-ӣе1.+агре+ аіѕаб1еа 
аеҒаи1+.Фагре+ епаб1еа 
ѕһиёаомп . агре $фа{1с 
$1вриг.фагве* ${а+1с 


ѕмагёсага. агре $фаЕ1с 
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ѕоске+ѕ .Ёагреї зфаЕ1с 
зоипа. агве* ${а+1с 
ѕмар.Фагре+ ѕёа+іс 
ѕуѕіпі+.ёагреї $фа1с 
5у$1о8.фагве* ${а+1с 
{1те-зупс.{агве* ${а+1с 
итоипЁ .агре+ $фа{1с 


43 ипіЕ +11е5 115%еа. 


Обратите внимание на то, что в обоих примерах файлов конфигурации юнитов 
сами юниты отображаются со значением статуса ѕёаќіс, епаб1еа или аїѕађ1еа. 
Статус епаб1еа означает, что юнит в данный момент включен. Статус 915а61ед 
означает, что юнит в данный момент отключен. Тут все просто. А со статусом 
${а{1с может возникнуть недопонимание. Он говорит о том, что юнит «статически 
включен», то есть включен по умолчанию и не может быть отключен даже супер- 
пользователем. 

Файлы конфигурации сервисного юнита содержат множество информации, 
например, какие дополнительные службы должны быть запущены и когда какой 
файл среды использовать и т. д. В следующем примере показан файл конфигура- 
ции юнита демона ѕ5һа: 


# саф /116/5ѕуѕіета/ѕуѕёет/ѕ5һа. ѕегмісе 

[911] 

Рреѕсгірііоп=Орепѕ5Н зегуег даетоп 
Роситепа&іоп=тап: ѕ55ћа(8) тап: $5Ва_соп+18(5) 
АҒёег=пеёмогк.ёагреє $х5Па-Кеувдеп. агре 


[5егуісе] 

Туре=по+і+у 

ЕпуігоптепЁРі1е= - /еёс/ сгурёо-ро1ісіеѕ /баск-епаѕ /орепѕѕһѕегуег.сопҒів 
ЕпуігоптепЁРі1е= - /еёс/ ѕуѕсопҒір/ѕ5һа 

ЕхесЅ+агё= /иѕг/ѕріп/ѕ5һа -р ФОРТТОМ$ ФСКҮРТО РОГІСҮ 

ЕхесКе1оаӣ= /біп/кі11 -НОР $МАТМРТО 

К111]Моде=ргосе$$ 

ВезФаг{=оп-Фа11иге 

Кезфаг{$5ес=42$ 


[1пѕ+а11] 
Мап+еаву=ти1+1і-иѕег. агре 


[1пѕ+а11] 
Мап+еаву=ти1+і-иѕег. агре 


Этот базовый файл конфигурации сервисного юнита обладает следующими 
параметрами. 
ө Пезсириоп — описание службы в свободной форме (строка комментария). 


® Поситещайоп — список справочных страниц для демона $$На и файла кон- 
фигурации. 
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ө АКег — устанавливает порядок. Другими словами, параметр перечисляет, какие 
устройства должны быть активизированы до запуска определенной службы. 


Епуігоптепё Ее — файлы конфигурации службы. 
ЕхесЅіагі — команда для запуска этой службы. 


ЕхесВе|оа4 — команда для перезагрузки этой службы. 


У’аще4Ву — целевой юнит, к которому относится данная служба. 


Обратите внимание на то, что целевой юнит ти1&1і -иѕег.ёагвеё используется 
в файле конфигурации сервисного юнита $ Па. А это значит, что сервисный юнит 
ѕ5һа относится к целевому юниту ти1{1-изег.фагёе*. Другими словами, когда ак- 
тивизируется целевой юнит ти161і -иѕег.©агреї, запускается сервисный юнит $514. 

Вы можете просмотреть список юнитов, которые активизируют целевой юнит, 
с помощью следующей команды: 


# зузфетсЕ1 ѕһом --ргорегеу "Мапёѕ" ти1+1і-иѕег. агре 
Мапіѕ=ігдра1апсе.ѕегуісе Ғігема114.5ѕегуісе р1Іутои+һ-диі+. ѕегуісе 
ѕуѕёета-ирдӢа+е-иётр-гип1еме1.ѕегуісе ѕуѕбета-аѕк-раѕѕмога-ма11.ра+һ... 
(Е\ О) а 


К сожалению, команда ѕуѕёетс+1 не форматирует эти выходные данные. Она 
пробегает по списку так быстро, что не успеваешь увидеть все результаты. Кроме 
того, необходимо ввести команду а, чтобы вернуться в командную строку. Чтобы 
устранить эту проблему, передайте выходные данные в команды форматирования, 
которые отсортируют содержимое по алфавиту, как показано в следующем примере: 


# зузфетсЕ1 ѕһом --ргорегеу "Мапёѕ" ти1+1і-иѕег.Ёагве+ \ 
| Ее -10 | ѕеа '$/мапе$=//в' | зогЕ 

аа. ѕегуісе 

аиаі+а. ѕегуісе 

ауаһі-дӢаетоп. зегу1се 

сһгопуа. ѕегмісе 

сгопа. ѕегуісе 


В этом примере отображаются все службы и другие юниты, которые будут ак- 
тивизированы (запущены), включая $$Па, когда активизируется юнит ти16і-иѕег. 
агреї. Помните, что целевой юнит — это просто группа других юнитов, как по- 
казано ранее. Обратите внимание на то, что в этой группе не все юниты сервисные. 
В выходных данных присутствуют также юниты пути и другие целевые юниты. 

Целевой юнит также имеет параметры Мап и Кедџиігеѕ. Параметр Мапіѕ запу- 
скает все перечисленные юниты после активизации устройства. Если они терпят 
неудачу или не могут быть запущены, целевой юнит продолжает функционировать. 
В предыдущем примере представлен только параметр Мапёѕ. 

Параметр Кедиігеѕ действует гораздо строже, чем Иап*$. Параметр Кедиігеѕ 
означает, что все перечисленные юниты активизируются (запускаются). Если они 
выходят из строя или не могут запуститься, то весь юнит (группа юнитов) пере- 
стает функционировать. 
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Вы можете просмотреть список различных юнитов, которые относятся к це- 
левому юниту Веди1ге$ (их необходимо активизировать, иначе юнит выйдет 
из строя), используя команду, приведенную в следующем примере. Обратите 
внимание на то, что вывод Веди1гез намного короче, чем вывод мапёѕ для юнита 
ти161 -иѕег.агвеё, поэтому никакого дополнительного форматирования выходных 
данных не требуется: 


# ѕуѕёетс+1 ѕһом --ргорег+у "Веди1ге$" ти1+1-изег.фагвее 
Веди1ге$=Ба$1с.+агвее 


Целевые юниты, как и сервисные, также имеют файлы конфигурации. В сле- 
дующем примере показано содержимое файла конфигурации ти1+і -иѕег.ёагвеї: 


# са+ /116/зузета/зузет/ти11-изег.фагвее 
# Тһіѕ Ғі1е 15 рагі оф ѕуѕёета. 
# 


[911] 

Рреѕсгірііоп=Ми1+і-Оѕег 
Рроситепёа+іоп=тап : ѕуѕ+ета. ѕресіа1(7) 
Кедиігеѕ=раѕіс.агреі 

Соп+1ісіѕ=геѕсие.ѕегуісе геѕсие. агре 
АҒёег=браѕіс.Фагреї геѕсие.ѕегуісе геѕсие.+агре 
А110мІѕо1а+е=уеѕ 


Этот базовый файл конфигурации целевого юнита имеет следующие пара- 
метры. 


® реѕсгір+іоп — описание службы в свободной форме. 
Ф роситепёа+іоп — перечисляет соответствующие справочные страницы зу 5{епта. 


® Кедиігеѕ — если файл ти1%і-иѕег.агре+ активизируется, то вместе с ним ак- 
тивизируется и указанный целевой юнит. Если целевой юнит деактивизирован 
или выходит из строя, то и ми11-изег.фагве{ перестает функционировать. 
Если нет параметров А ег и Вефоге, то одновременно активизируются как файл 
ти1{1-изег.Фагзе*, так и указанный целевой юнит. 


Ф Соп+Ғ1їісіѕ — позволяет избежать конфликтов во время работы служб. Запуск 
ти11-изег.агре* останавливает все перечисленные в нем целевые и сервисные 
юниты и наоборот. 


© АЕГег — устанавливает порядок. Другими словами, параметр перечисляет, какие 
устройства должны быть активизированы до запуска определенной службы. 


© д110м1501аёе — представлен логическим значением уеѕ или по. Если этот 
параметр установлен со значением уеѕ, то целевой юнит ми1{1-изег.{агвеф 
активизируется вместе со своими зависимостями, а все остальные отключаются. 


Чтобы получить более подробную информацию об этих файлах конфигура- 
ции и их параметрах, введите команды тап ѕуѕ ета. ѕегуісе, ѕуѕ+ета.багве и тап 
ѕуѕ+ета.ипі+ в командной строке. 
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Понимание концепции целевых юнитов ѕуѕёета упрощает понимание процес- 
са загрузки Глпих-сервера, использующего службу ѕуѕќета. При загрузке службы 
ѕуѕ+ета активизирует юнит 4ефаи1+ .агре+. Он является псевдонимом либо ти161 - 
иѕег.агве+, либо вгарһіса1.агве+. Таким образом, в зависимости от установлен- 
ных псевдонимов а1іаѕ запускаются службы, на которые ориентирован целевой 
юнит. 

Чтобы получить дополнительную информацию о демоне ѕуѕёета, введите ко- 
манду тап -К ѕуѕета в командной строке. 


Обратная совместимость служб ѕуѕіета с 5уѕ\іпі 


Демон ѕуѕ+ета поддерживает обратную совместимость с демоном ЗузУшй. Это 
позволяет дистрибутивам Глпах постепенно переходить на использование демона 
зузета. 

Хотя уровни выполнения не являются частью ѕуѕёета, инфраструктура ѕуѕёета 
создавалась для того, чтобы обеспечить совместимость с концепцией уровней вы- 
полнения. Существует семь файлов конфигурации целевого юнита, специально 
созданных для обратной совместимости с $уѕУіпії: 
гип1еуе10 .агре+; 
гип1еуе11.+агреї; 
гип1еме12.агреї; 
гип1еме13.ёагрет; 
гип1еуе14.+агреї; 


гип1еуе15 .ёагреї; 


гип1еме16.+агреї. 


Как вы, вероятно, уже поняли, для каждого из семи классических уровней 
запуска 5уѕУіпії существует файл конфигурации целевого юнита. Эти файлы 
символически связаны с файлами конфигурации целевого юнита, наиболее точно 
соответствующими исходному уровню выполнения. В следующем примере отобра- 
жены символические ссылки для целевых юнитов уровня выполнения. Обратите 
внимание на то, что целевые юниты уровней выполнения 2, З и 4 символически 
связаны с юнитом ти16і -иѕег.агреї, который наследует расширенный много- 
пользовательский режим: 


# 15 -1 /116/ѕуѕёета/ѕуѕёет/гип1еме1* . агре 

Ігихгмхгмх. 1 гооЁ гоо 15 Арг 9 04:25 /116/ѕуѕёета/ѕуѕ+ет/ гип1еме10.+агреі 
-> ромего#+# .агреї 

Ігихгмхгмх. 1 гооЁ гооЁ 13 Арг 9 04:25 /116/ѕуѕёета/ ѕуѕёет/ гип1еме11.+агреі 
-> геѕсие.Тагвеї 

Ігихгмхгмх. 1 гооЁ гоо 17 Арг 9 04:25 /116/ѕуѕёета/ ѕуѕ&ет/ гип1еме12.+агреї 
-> ми16і-иѕег.агре+ 

Ігихгмхгмх. 1 гооЁ гоо 17 Арг 9 04:25 /116/ѕуѕёета/ ѕуѕёет/ гип1еме13.+агреі 
-> ми16і-иѕег.агре+ 
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Тгихгихгих. 1 гооф гоо 17 Арг 9 04:25 /116/ѕуѕёета/ѕуѕ+ет/гип1еме14.+агре+ 
-> ми11-изег. фагвее 

Тгихгихгих. 1 гоо гоо 16 Арг 9 04:25 /116/ѕуѕёета/ѕуѕ+ет/гип1еме15.+агре+ 
-> ргарһіса1.+агреї 

Тгихгихгих. 1 гоо гоо 13 Арг 9 04:25 /116/ѕуѕёета/ѕуѕ+ет/гип1еме16.+агре+ 
-> героо.Фагре+ 


Файл /ес/іпіїёаб все еще существует, но содержит только комментарии, 
указывающие на то, что он не используется, а лишь передает базовую информа- 
цию в ѕуѕ+ета. Файл /еёс/іпіё+ар больше не имеет истинного функционального 
применения. Далее приведен пример файла /еёс/іпії+ар на сервере Глпих, задей- 
ствующем ѕуѕёета: 


са /еЁс/іпі++аБ 
іпі+ар 1$ по 1Іопвег иѕеа. 


АБОТМс СОМЕТСОУВАТТОМ НЕКЕ МІГ НАМЕ МО ЕРЕЕСТ ОМ УОЧВ 5ҮЅТЕМ. 


С+г1-А1+-Бе1ефе 1$ һапа1еа Бу 
/ефс/зузфета/зуз{ет/с{г1-а1+-4е1 .Еагзе* 


# 

# 

# 

# 

# 

# 

# 

# 

# ѕуѕёета иѕеѕ 'Фагреѕ' іпѕ+еаа оф гип1еме15. 
# Ву аеҒаџ1+, +Пеге аге ©мо таіп агре+ѕ: 
# 
# 
# 
# 
# 
Я 
# 
# 
Я 


пи11-изег.Фагае*: апа10роиѕ Фо гип1еуе1 3 
Бгарһіса1.Фагреї: апа1ороиѕ Фо гип1еуе1 5 


То у1ем сиггепё аефаи1 +агре, гип: 
ѕуѕ+етс+1 ве{-4ефаи1+ 


То ѕе а дефаи1+ Фагвеф, гип: 
ѕуѕёетс+1 ѕе-аӢеҒаи1+ ТАКСЕТ . агре 


В файле /еїс/іпі+ќар объясняется, что, если вы хотите получить что-то похожее 
на классический уровень выполнения З или 5 в качестве уровня по умолчанию, 
нужно запустить команду ѕуѕ&етсё1 аефаи1+ .агреї и установить нужный уровень 
выполнения. Чтобы проверить, с чем деҒаи1+.агвеї в данный момент символиче- 
ски связан (или, используя устаревшие термины, проверить уровень выполнения 
по умолчанию), примените команду, показанную далее. Видно, что на этом сервере 
Тіпих по умолчанию запускается на уровне выполнения 3: 

# 15 -1 /еїс/ѕуѕ+ета/ ѕуѕ+ет/аеҒаи1+ .Фагвеї 
1гихгихгих. 1 гооЁ гоо 36 Маг 13 17:27 


/еёс/ѕуѕёета/ ѕуѕ&ет/аеҒаи1+.Фагреї - > 
/116/зузфета/ ѕуѕ&ет/ гип1еме13. агре 


По-прежнему доступна возможность переключения уровней выполнения 
с помощью команды іпії или +е11п1+. Любая из этих команд преобразуется 
в запрос активизации целевого юнита ѕуѕёета. Поэтому, введя команду 1п1* 3 
в командной строке, в действительности вы получите команду ѕуѕёетс+1 1501а%е 
ти11-изег. фагзе*. Кроме того, все еще можно использовать команду гип1еуе1 
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для определения текущего устаревшего уровня выполнения, но делать это я на- 
стоятельно не рекомендую. 

Классический файл $уѕУіпі /ес/іпіќ+ар обрабатывал появление процессов 
бету или тіпве++у. ѕуѕёета іпіє обрабатывает их через юнит веёёу.+агвеё. Данный 
юнит активизируется целевым юнитом ти141-изег.фагве*. С помощью следующей 
команды можно увидеть, как эти два целевых юнита связаны между собой: 


# зузфетсе1 ѕһом --ргорег+у "Мапёеаву" реї+у. агре 
Мап+еаву=ти1+1і -иѕег.Еагреі 


Теперь, когда у вас появилась основа для понимания классических и современ- 
ных демонов инициализации, пришло время перейти к практическим действиям 
администратора сервера, связанным с демоном іпії. 


Проверка статуса службы 


Как администратор Глпих, вы должны проверять состояние служб на сервере. 
По соображениям безопасности необходимо отключить и удалить все неиспользуе- 
мые системные службы, обнаруженные в ходе проверки. Для устранения неполадок 
самое главное — иметь возможность быстро узнать, что должно и что не должно 
работать на сервере пих. 

Конечно, для начала нужно узнать, какую службу инициализации применяет 
ваш сервер Глпих. Как это определить, описано в разделе «Демон инициализации 
(ши или ѕуѕќета)» ранее в этой главе. Следующие разделы посвящены различным 
демонам инициализации. 


Проверка служб систем 5уѕ\іпіё 


Чтобы просмотреть все службы сервера Глпих, использующего классический демон 
ЅуѕУіпії, примените команду сһксоп#ів. В следующем примере показаны службы, 
доступные на классическом сервере с демоном ЅуѕУіпі. Обратите внимание на то, 
что для всех служб каждый уровень выполнения (0—6) отображается со статусом 
оп или о. Статус указывает, запущена конкретная служба (оп) или нет (о++) для 
этого уровня выполнения: 


# сһксопҒіє --1151 
Сопѕо1екії 9:о++ 1:оҒҒ 2:0 З:оп 4:оп 5:оп б:о#Ғ 
МемогКМапареп Ө:оҒЕ 1:0 2:0 З:оҒҒ 4:0 5:04 6:04 


сгопа Ө:оҒЕ 1:0Ғ#Ғ 2:0п З:оп 4:0п 5:0п б:оҒҒ 


сирѕ Ө:оҒҒ 1:01 2:0п З:оп 4:0п 5:оп 6:0 
ѕ5ѕһа Ө:оҒҒ 1:0Ғ#Ғ 2:0п З:оп 4:0п 5:0п 6:04 
$у$105 9:о++ 1:01 2:0п З:оп 4:0п 5:0оп 6:0 


Фих Ө:оҒЕ 1:0 2:оЕЕ З:оҒҒ 4:0 5:оЕ 6:0#Ғ 
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иаеу-роѕё 9:о++ 1:0оҒҒ 2:0#Ғ# З:оп 4:0п 5:0оп 6:0 
упсзегуег 9:о++ 1:0 2:04 З:офЕ 4:оР 5:0ҒЕ 6:о 
міпбіпа 9:о++ 1:оҒҒ 2:0#Ғ З:ОоҒҒ Д:ОҒЕҒ 5:0ҒЕ 6:0о#ғ 
мра_зирр11сапЕ @:о+ 1:04 2:0#Ғ# З:ОоҒҒ Д4:0ҒҒ 5:0Ғ#Ғ# б6:0#Ғғ 
хЕ5 9:о++ 1:04 2:0п З:оп 4:0п 5:0п 6:ОҒҒ 
урбіпа 9:о++ 1:оҒҒ 2:0#Ғ З:офР Д:ОҒЕҒ 5:0ҒЕ 6:0о#ғ 
учт-ираа+еѕа 9:о++ 1:0оҒҒ 2:0#Ғ# З:оп 4:0п 5:0оп 6:0 


Некоторые службы никогда не запускаются, например упсзегуег. Другие службы, 
например демон сирѕ, запускаются на уровнях выполнения со второго по пятый. 

С помощью команды сһксопғів нельзя определить, запущена ли служба в дан- 
ный момент. Для этого необходимо воспользоваться командой зег\у1се. Чтобы от- 
делить только запущенные в данный момент службы, команда ѕегуісе передается 
по конвейеру в команду вгер, а затем сортирует вывод следующим образом: 


# зегу1се --5Фафи$-а11 | ргер гиппіпр... | ѕог+ 
апасгоп (ріа 2162) 1$ гиппіпе... 

афа (ріа 2172) 1$ гиппіпе... 

аџаі+а (ріа 1653) 15 гиппіпе... 

аиёотоипє (ріа 1952) 1$ гиппіпе... 
сопѕо1е-кі+-ЯӢаетоп (ріа 2046) 15 гиппіпе... 
сгопа (ріа 2118) 15$ гиппіпе... 

сирѕа (ріа 1988) 15 гиппіпр... 


ѕ5һа (ріа 2002) 15 гиппіпе... 

ѕуѕ1ора (ріа 1681) 1$ гиппіпе... 

хз (ріа 2151) іѕ гиппіпе... 
учт-ираа+еѕа (ріа 2205) 1$ гиппіпе... 


Можно использовать обе команды, сһксоп#ів и ѕегуісе, чтобы просмотреть 
параметры каждой службы. С помощью обеих команд вы сможете просмотреть 
настройки демона сирѕ: 


# сһксопҒіє --11$% сирѕ 

сирѕ 9:о++ 1:0ҒҒ 2:0п З:оп 4:0п 5:0оп 6:0 
# 

# зегу1се сирѕ $Фафи$ 

сирѕа (ріа 1988) 15 гиппіпр... 


Здесь видно, что демон сирѕа настроен на запуск на каждом уровне выполнения, 
кроме 0, 1 и 6, а команда ѕегуісе показывает, что он в данный момент работает. 
Кроме того, для демона задается номер идентификатора процесса (РГО). 

Чтобы просмотреть все службы демона ѕуѕёета для сервера Глпих, используйте 
следующую команду: 


# ѕуѕетс+1 1154-ип1{-#11е5 --+уре=ѕегуісе | ргер -у 415аб1еа 


ОМІТ ЕТЕЕ ЅТАТЕ 

абгё-ссрр.ѕегхмісе епаб1еа 
абг{-оор$ . зег\1се епаб1еа 
абгі-утсоге. ѕегуісе епаБ1еа 


абга. ѕегуісе епаб1еа 
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а1за-гезфоге . зегу1се $фае1с 
а15а-ѕ+іоге.ѕегуісе $фае1с 
апасопда-$Пе11@. ѕегуісе $фае1с 
агр-еһегѕ.ѕегуісе епаб1еа 
аа. ѕегуісе епаб1еа 
аиаі+а. ѕегуісе епаб1еа 
ауаһі-дӢаетоп.ѕегуісе епаб1еа 
р1ие+оо+ћ. ѕегуісе епаб1еа 
сопѕо1е-КкіЁ-1ор- ѕуѕ+ет-геѕ+агі. ѕегуісе $фае1с 
сопѕо1е-КкіЁ-10ор- ѕуѕ+ет- ѕ+аг+. ег\1се $фае1с 
сопѕо1е-КкіЁ-10ор- ѕуѕ+ет- ѕ+ор.ѕегуісе ѕа+іс 
сгопа . ѕегуісе епаб1еа 
сирѕ.ѕегуісе епаб1еа 
ѕ5һа-Ккеуреп. ѕегуісе епаб1еа 
ѕ5һа.ѕегуісе епаб1еа 

ѕуѕ+ет- ѕеир-Ккеубоага. ѕегуісе епаб1еа 


134 ипії +11е5 1іѕ+еа. 


Помните, что для службы ѕуѕёета доступно три варианта состояния: епаб1е4 
(включен), аіѕаб1еа (отключен) и ѕ+а+іс (статически включен). Нет необходи- 
мости включать состояние діѕаб1еа, чтобы увидеть, какие службы будут активны. 
Для этого можно использовать команду ргер с параметром -\, как показано в пре- 
дыдущем примере. Состояние ѕ+аїіс по умолчанию активно и, значит, должно 
быть включено в вывод. 

Чтобы узнать, запущена ли конкретная служба, задействуйте следующую ко- 
манду: 

# зузфетсЕ1 зфафи$ сирѕ.ѕегуісе 
сир$.зегу1се — СУР$ 5спеди1ег 
Іоайеа: 1Іоааеа (/116/зузета/зуз{ет/сир$ .зегу1се; епаб1еа) 
Асііме: асЕ1уе (гипп1пё) ѕіпсе Меа 2019-09-18 17:32:27 ЕОТ; 3 Чдау$ аро 
росѕ: мап: сирѕа(8) 
Маіп РТО: 874 (сирѕа) 
Ѕ+аёиѕ: "Ѕсһейи1ег 15 гиппіпе..." 
Таѕкѕ: 1 (1іті: 12232) 
Метогу: 3.1М 
Сбгоир: /зу$%ет. $11се/сир$ .зегу1се 
—874 /изг/$61п/сирза -1 


Команда зузетсЕ1 может использоваться для отображения состояния одной 
или нескольких служб. В предыдущем примере была выбрана служба печати. 
Обратите внимание на то, что имя службы — это сирѕ.ѕегуісе. В примере приво- 
дится много полезной информации о службе, например, что она включена и актив- 
на, а также время ее запуска и идентификатор процесса (РТО). 

Теперь, когда вы можете проверить состояние служб и узнать что-то о них, не- 
обходимо научиться выполнять запуск, остановку и перезагрузку служб на вашем 
сервере Глпих. 
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Запуск и остановка служб 


Запуск, остановка и перезапуск служб обычно относятся к необходимым зада- 
чам, другими словами, задачам управления службами без перезагрузки сервера. 
Например, если вы хотите временно остановить службу, подойдет этот раздел 
книги. Но если хотите остановить службу и не позволять ей перезапускаться при 
перезагрузке сервера, то действительно нужно отключить ее, как описано в разделе 
«Подключение постоянных служб» далее в этой главе. 


Остановка и запуск служб Ѕуѕ\іпіё 


Основная команда для остановки и запуска служб ЅуѕУҮіпії — это команда ѕегуісе. 
С ее помощью имя нужной службы ставится на второе место в командной строке. 
В конце указывается подходящее действие для службы: Ѕ+ор, ѕаг?, геѕ+агі и т. д. 
В следующем примере показано, как остановить службу сирѕ. Обратите внимание 
на значение ок — оно дает понять, что служба сирз4 была успешно остановлена: 


# зегу1се сирѕ Ѕїаїиѕ 

сирѕа (ріа 5857) 1$ гиппіпр... 
# зегу1се сирѕ $%ор 

Ѕ+орріпе сирѕ: Г оК ] 
# зегу1се сирѕ $Фафи$ 

сирѕа 1$ $форреа 


Чтобы запустить службу, используйте параметр з+аг* вместо параметра ѕ&ор 
в конце команды ѕегуісе, как показано далее: 


# зегу1се сирѕ $ФагЕ 

ЗфагЕ1пта сирѕ: Гок ] 
# зегу1се сирѕ $фафи$ 

сирѕа (ріа 6860) 15 гиппіпр... 


Для перезапуска службы ЅуѕУіпіё используется параметр ге+аг*. Он останав- 
ливает службу и затем сразу же запускает ее снова: 


# зегу1се сирѕ геѕ+агі 

Ѕ&орріпе сирѕ: Г оК ] 
Ѕагііпе сирѕ: Г оК ] 
# зегу1се сирѕ $Фафи$ 

сирѕа (ріа 7955) 1$ гиппіпр... 


Когда служба уже остановлена, параметр геѕбаг+ генерирует состояние ҒАІГЕР 
при попытке остановить ее еще раз. Однако, как показано в следующем примере, 
служба успешно запускается при попытке перезапуска: 


# зегу1се сирѕ $Фор 

Ѕорріпе сирѕ: Г К |] 
# Ѕегуісе сирѕ геѕ+агі 

Ѕ+орріпе сирѕ: [РАІІЕЮ] 
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Ѕ+агііпв сирѕ: ок |] 
# зегу1се сирѕ $Фафи$ 
сирѕа (ріа 8236) 15$ гипп1пв... 


Перезагрузка службы отличается от перезапуска службы. При перезагрузке сама 
служба не останавливается — снова загружаются только ее файлы конфигурации. 
В следующем примере показано, как перезагрузить демон сирѕ: 


# зегу1се сирѕ $Фафи$ 

сирѕа (ріа 8236) 1$ гиппіпе... 
# зегу1се сирѕ ге1оаа 

Ке1оайіпе сирѕ: гок ] 
# зегу1се сирѕ ѕ&а+иѕ 

сирѕа (ріа 8236) 15 гиппіпе... 


Если служба ЅуѕУіпі остановлена в процессе перезагрузки, появится статус 
ҒАІІ ЕР. Это показано в следующем примере: 


# зегу1се сирѕ Ѕ&а+иѕ 

сирѕа 1$ ѕёорреа 

# зегу1се сирѕ ге1оаа 

Ке1оадіпе сирѕ: [РАТЬЕО] 

Ѕ+орріпе апа ѕ+агііпв ѕуѕёета ѕегуісеѕ 


Для демона ѕуѕёета команда ѕуѕ&етс&1 позволяет останавливать, запускать, 
перезагружать и перезапускать службы. Параметры команды ѕуѕёетс&1 похожи. 


Остановка службы с помощью демона ѕуѕіета 


В следующем примере состояние демона сирѕ проверяется, а затем он останавли- 
вается с помощью команды ѕуѕетс+1 ѕ+ор сирѕ. ѕегуісе: 


# ѕуѕёетс+1 зфафи$ сирѕ.ѕегуісе 
сирѕ.ѕегуісе — СУР$ Ргіпёіпе Ѕегуісе 
Іоайеа: 1оа4деа (/116/ѕуѕёета/ѕуѕёет/сирѕ.ѕегуісе; епаб1еа) 
Асііме: ас+іуе (гипп1пё) ѕіпсе Моп, 20 Арг 2020 12:36:3... 
Маіп РТО: 1315 (сирѕа) 
Сбгоир: пате=ѕуѕёета: / ѕуѕёет/сирѕ.ѕегуісе 
1315 /иѕг/ѕбіп/сирѕа -+ 
# ѕуѕіетс+1 ѕор сирѕ.ѕегмісе 
# ѕуѕёетс+1 зфафи$ сирѕ.ѕегуісе 
сирѕ.ѕегуісе — СУР$ Ргіпёіпе Ѕегуісе 
Іоайеа: 1оа4деа (/116/ѕуѕбета/ ѕуѕ&ет/сирѕ.ѕегуісе; епаб1еа) 
Асііме: іпасііме (аеаа) ѕіпсе Тие, 21 Арг 2020 04:43:4... 
Ргосеѕ5: 1315 Ехесѕ+агі= /иѕг/ѕбіп/сирѕа -+ 
(сойе=ехіеа, ѕФаёиѕ=0/50ССЕ55) 
Сбгоир: пате=ѕуѕёета: / ѕуѕёет/сирѕ.ѕегуісе 


Обратите внимание на то, что при проверке статуса после остановки демона сирѕ 
видно, что служба неактивна (аеаа), но все еще считается включенной. Это озна- 
чает, что демон сирѕ будет запускаться при загрузке сервера. 
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Запуск службы с помощью демона эу$&ета 


Запустить демон сирѕ так же просто, как и остановить его. В следующем примере 
это показано: 


# зузфетсЕ1 ѕ+агі сирѕ.ѕегуісе 
# ѕуѕЕетс+1 зфафи$ сирѕ.ѕегуісе 
сир$.зегу1се — СУР$ Ргіпёіпе Ѕегуісе 
Іоайеа: 1оа4деа (/116/зузета/зуз{ет/сир$ .зегу1се; епаб1еа) 
Асііме: асЕ1уе (гипп1пё) ѕіпсе Тие, 21 Арг 2020 04:43:5... 
Маіп РТО: 17003 (сирѕӣ) 
Сбгоир: пате=ѕуѕбета: / ѕуѕёет/сирѕ.ѕегуісе 
17003 /иѕг/ѕріп/сирѕа -+ 


После запуска демона сирѕ использование команды ѕуѕёетс+1 с параметром 
ѕ+аїиѕ говорит о том, что служба активна (запущена), кроме того, показан ее номер 
идентификатора процесса (РТО) — 17063. 


Перезапуск службы с помощью демона ѕуѕќета 


Перезапуск службы означает, что служба останавливается, а затем запускается 
снова. Если в данный момент она не запущена, перезапуск просто запустит ее: 


# зузфетсЕ1 геѕ+аг+ сирѕ.ѕегмісе 
# ѕуѕЕетс+1 зфафи$ сирѕ.ѕегуісе 
сир$.зегу1се — СУР$ Ргіпёіпе Зегу1се 
Іоайеа: 1Іоааеа (/116/зузЕета/зуз{ет/сир$ .зегу1се; епаб1еа) 
АсЕ1\е: асЕ1уе (гипп1пё) ѕіпсе Тие, 21 Арг 2020 04:45:2... 
Маіп РТО: 17015 (сирѕа) 
Сбгоир: паме=зузета: / ѕуѕёет/сирѕ.ѕегуісе 
17015 /иѕг/ѕріп/сирѕа -+ 


Вы также можете выполнить условный перезапуск службы с помощью команды 
ѕуѕёетс+1. Условный перезапуск перезапускает службу только в том случае, если она 
в данный момент запущена. Любая служба в неактивном состоянии не запускается: 


# ѕуѕіетс+1 зфафи$ сирѕ.ѕегуісе 
сирѕ.ѕегуісе - СУР$ Ргіпёіпе Ѕегуісе 
Іоайеа: 1Іоадеа (/11р/ѕуѕёета/ ѕуѕет/сирѕ.ѕегмуісе; епаб1еа) 
Асііме: іпас+іуе (4еа@) ѕіпсе Тие, 21 Арг 2020 06:03:32... 
Ргосеѕ5: 17108 Ехесѕ+агі= /иѕг/ѕбіп/сирѕа -+ 
(сойе=ехіеа, ѕФаёиѕ=0/50ССЕ55) 
Сбгоир: пате=ѕуѕёета: / ѕуѕ+ет/сирѕ. ѕегуісе 
# ѕуѕіетс+1 сопагеѕ+агі сирѕ.ѕегуісе 
# ѕуѕЕетс+1 зфафи$ сирѕ.ѕегуісе 
сирѕ.ѕегуісе — СОРЅ Ргіпёіпе Ѕегуісе 
Іоайеа: 1Іоааеа (/116/ѕуѕёета/ѕуѕ&ет/сирѕ.ѕегуісе; епаб1еа) 
Ас+іме: іпас+іме (деа) ѕіпсе Тие, 21 Арг 2020 06:03:32... 
Ргосеѕ5: 17108 ЕхесЅѕ+агё= /иѕг/ѕбіп/сирѕа -+ 
(соӣе=ехі+еа, ѕ+аиѕ=0/50ССЕ55) 
Сбгоир: пате=ѕуѕ ета: / ѕуѕ+ет/сирѕ.ѕегуісе 
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Обратите внимание на то, что в примере демон сирѕ находился в неактивном 
состоянии. При условном перезапуске сообщения об ошибках не генерировались! 
Демон сирѕ не был запущен, поскольку условные перезапуски влияют лишь на 
активные службы. Таким образом, всегда полезно проверять состояние службы 
после остановки, запуска, условного перезапуска и т. д. 


Перезагрузка службы с помощью демона ѕуѕіета 


Перезагрузка службы отличается от ее перезапуска. При перезагрузке служба 
не останавливается, вновь загружаются только ее файлы конфигурации. В следу- 
ющем примере показано, как перезагрузить демон сирѕ: 


# ѕуѕёетс+1 зфафиз ѕ5һа.ѕегуісе 
ѕ5һа.ѕегмісе — Ореп55Н зегуег даетоп 
Іоайеа: 1оа4деа (/иѕг/11рЬ/ѕуѕ+ета/ѕуѕет/ѕ5һа.ѕегуісе; епаб1еа) 
Асііме: асЕ1уе (гиппіпе) ѕіпсе Меа 2019-09-18 17:32:27 Ерт; 3 аауѕ аро 
Маіп РТО: 1675 (5ѕ5һа) 
Сбгоир: /ѕуѕ+ет. ѕ51ісе/55һа.ѕегуісе 
——1675 /иѕг/ѕріп/ѕѕһа -В 
# ѕуѕіетс+1 ге1оаа ѕ5һа.ѕегуісе 
# зузфетсЕ1 зфафиз ѕ5һа.ѕегуісе 
ѕ5һа.ѕегуісе — Орепѕ5Н зегуег даетоп 
Іоайеа: 1оа4деа (/116/зузета/зуз{ет/з$Ва.зегу1се; епаб1еа) 
Асііме: асЕ1уе (гипп1пё) ѕіпсе Меа 2019-09-18 17:32:27 Ерт; 3 аауѕ аро 
Ргосеѕ5: 21770 ЕхесКе10оаа= /біп/Кі11 -НОР $МАТМРТО (сойе=ехіёеа, ѕ&аїиѕ=0/ 
Ѕ0ССЕ55) 
(соае=ех1{е, ѕФаёиѕ=0/50ССЕЅ5а) 
Маіп РТО: 1675 (ѕ5һа) 
Сбгоир: /ѕуѕ+ет. ѕ1ісе/55һа.ѕегуісе 
—1675 /иѕг/ѕЫіп/ѕ5ѕһа -р ... 


Перезагрузка службы с помощью команды ге1оаа вместо перезапуска предот- 
вращает прерывание любых ее отложенных действий. Перезагрузка — это лучший 
вариант для используемого сервера Шпих. 

Теперь, когда вы знаете, как останавливать и запускать службы, чтобы устра- 
нять неполадки и аварийные ситуации, вы должны научиться включать и от- 
ключать их. 


Подключение постоянных служб 


Параметры $ ор и ѕ+аг& применяются для неотложных задач, а не для постоянных 
служб. Постоянная служба — это служба, которая запускается во время загрузки 
сервера или на определенном уровне выполнения. Службы, которые должны быть 
постоянными, — это обычно новые службы сервера Глпих. 
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Настройка постоянных служб для демона Ѕуѕ\іпії 


Одна из приятных особенностей классического демона ЗузУтшй заключается в том, 
что сделать определенную службу постоянной или отменить это состояние очень 
легко. Рассмотрим следующий пример: 


# сһксопҒіє --1151 сирѕ 
сирѕ 9:о++ 1:0ҒҒ 2:04 З:о+ Д:ОРҒ 5:оҒҒ 6:0ҒҒ 


На этом сервере Глпих служба сирѕ не запускается ни на одном из уровней 
выполнения, что показано с помощью команды сһксоп+ів. Вы также можете про- 
верить, установлены ли какие-либо символьные ссылки запуска (5) в каждом из 
семи каталогов уровня выполнения /еёс/гс.а/гс?а. Помните, что демон 5уѕУіпіб 
хранит в этом каталоге символические ссылки для запуска и остановки различ- 
ных служб на определенных уровнях выполнения. Каждый каталог представляет 
определенный уровень выполнения, например, гс5.4 предназначен для уровня 
выполнения 5. Обратите внимание на то, что в списке перечислены только файлы, 
начинающиеся с буквы к, поэтому появились ссылки для немедленного завершения 
демона сирѕ. Ни один из них не обозначен буквой 5, что согласуется с командой 
сһксоп+ів, поскольку демон сирѕ не запускается ни на одном из уровней выполне- 
ния на этом сервере: 

# 15 /ефс/гс.а/гс?.а/*сир$ 

/еёс/гс.а/гсӨ.а/К10сирѕ /еїс/гс.а/гсз.а/К10сирѕ 
/еёс/гс.а/гс1.4/К10сирѕ /еїс/гс.а/гс4.4/К10сирѕ 
/еёс/гс.а/гс2.4/К10сирѕ /еїс/гс.а/гс5.4/К10сирѕ 
/еёс/гс.ӣ/гс6.4/К10сирѕ 


Чтобы сделать службу постоянной на определенном уровне выполнения, сно- 
ва используйте команду сһксоп+ів. Вместо параметра - -115+ введите параметр 
--Іеме1, как показано в следующем примере: 


# сһксопҒів --1еуе1 3 сирѕ оп 

# сһксопҒіб --1151 сирѕ 

сирѕ Ө:оҒҒ 1:0ҒҒ 2:04 З:оп 4:04 5:оҒҒ 6:0ҒҒ 
# 15 /еїс/гс.ӣ/гсз.ӣ/5*сирѕ 

/еёс/гс.а/гсз.4/556сирѕ 


Постоянство службы на уровне выполнения З проверяется с помощью команды 
сһксопҒїір --1154 и просмотра каталога гсз.а для любых файлов, начинающихся 
с буквы 5. Чтобы сделать службу постоянной на нескольких уровнях выполнения, 
можно выполнить следующие действия: 


# сһксопҒіє --1еуе1 2345 сирѕ оп 

# сһксопҒіє --11$% сирѕ 

сирѕ 9:о++ 1:0#Ғ 2:0п З:оп 4:0п 5:0п 6:04 
# 15 /ес/гс.ӣ/гс?.1/5*сирѕ 

/еёс/гс.а/гс2.4/556сирѕ /еїс/гс.а/гс4.1/556сирѕ 
/еёс/гс.а/гс3.4/556сирѕ /еїс/гс.а/гс5.4/556сирѕ 
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Отключить службу так же просто, как и включить ее с помощью демона 5уѕУіпі. 
Для этого нужно изменить значение оп в команде сһксоп+ір на о++. В следующем 
примере показано использование команды сИКсоп1в для отключения службы сирѕ 
на уровне выполнения 5: 


# сһксопҒіє --1еуе1 5 сирѕ ое 

# сһксопҒіє --1151 сирѕ 

сирѕ Ө:оҒҒ 1:0#Ғ 2:0п З:оп 4:0п 5:0ҒЕ 6:04 

# 15 /еёс/гс.ӣ/гс5.1/5%*сирѕ 

15: саппоЁ ассеѕ5 /ефс/гс.9/гс5.9/5*сир$: № ѕисһ +11е ог Яаігесіогу 


Как и ожидалось, теперь нет символической ссылки, начинающейся с буквы 5, 
для службы сирѕ в каталоге /ефс/гс.9/гс5.4. Для демона ѕуѕёета снова использу- 
ется команда ѕуѕ+етсе1. С ее помощью вы можете отключать и включать службы 
на сервере Глпих. 


Включение службы 
с помощью демона ѕЅуѕїета 


Параметр епаб1е в команде ѕуѕёетс+1 настраивает запуск служб при загрузке си- 
стемы (делает службы постоянными). Далее показано, как именно это сделать: 


# зузфетсЕ1 зфафи$ сирѕ.ѕегуісе 
сир$.зегу1се — СУР$ Ргіпёіпе Ѕегуісе 
Гоайеа: 1оа4деа (/116/зузета/зуз{ет/сир$ .зегу1се; аіѕаБЬ1еа) 
Асііме: 1пасЕ1\уе (4еа@) ѕіпсе Тие, 21 Арг 2020 06:42:38 ... 
Маіп РТО: 17172 (сойе=ехіїеа, ѕ+аїиѕ=0/50ССЕ55) 
Сбгоир: пате=ѕуѕёета: / ѕуѕёет/сирѕ. ѕегуісе 
# ѕуѕіетс+1 епађБ1е сирѕ.ѕегуісе 
Сгеафе ѕут1іпк /еЁс/ѕуѕёета/ѕуѕ+ет/ргіп+ег .агре+ .мапѕ/сирѕ.ѕегуісе 
= /иѕ57/116/ѕуѕ&ета/ѕуѕёет/сирѕ.ѕегуісе. 
Сгеафе ѕут1іпк /еЁс/ѕуѕёета/ѕуѕ+ет/ ѕоске+ѕ .+агве{.мап{$/сир$ . зоскее 
= /изг/116/5узфета/зузет/сир$ .зосКе*. 
Сгеафе ѕут1іпк /еЁс/ѕуѕёета/ѕуѕ+ет/ти1+і-иѕег.багре+ .мапіѕ/сирѕ.ра+ћ 
— /иѕг/116/ѕуѕета/ ѕуѕ&ет/сирѕ.ра+ћ. 
# зузфетсЕ1 зфафи$ сирѕ.ѕегуісе 
сир$.зегу1се — СУР$ Ргіпёіпе Ѕегуісе 
Іоайеа: 1оа4деа (/116/зузета/зуз{ет/сир$ .зегу1се; епаб1еа) 
Асііме: 1пасЕ1\уе (аеаа) ѕіпсе Тие, 21 Арг 2020 06:42:38... 
Маіп РТО: 17172 (сойе=ехіїеа, ѕ+аіиѕ=0/50ССЕ55) 
Сбгоир: пате=ѕуѕёета: / ѕуѕёет/сирѕ.ѕегуісе 


Обратите внимание на то, что статус службы сирѕ .ѕегуісе изменился после ис- 
пользования параметра епађ1е в команде ѕуѕетс+1. Кроме того, отметьте для себя, 
что параметр епаб1е просто создает несколько символических ссылок. Может воз- 
никнуть искушение создать эти ссылки самостоятельно. Однако предпочтительнее 
применять для этого именно команду ѕуѕбетс+1. 
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Отключение службы с помощью демона эу$ета 


Вы можете использовать параметр а1заб1е в команде уз етс+1, чтобы предот- 
вратить запуск службы при загрузке. Однако это действие не сразу останавливает 
службу. Для этого нужен параметр $+ор, который описан в пункте «Остановка 
службы с помощью демона ѕуѕіета». В следующем примере показано, как отклю- 
чить включенную в данный момент службу: 


# ѕуѕёетс+1 415аб1е сир$.зегу1се 
гт '/ефс/зузета/зу${ет/рг1п*ег.{агве* .мап*$/сир$ .зег\1се' 
гт '/ефс/зузета/зу${ет/зосКе*$ .Фагве*.мап*$/сир$ .зоске*" 
гт '/еёс/ѕуѕета/ ѕуѕ&ет/ти1+1і -иѕег.агре+ .мапёѕ/сирѕ.ра+ћ' 
# ѕуѕёетс+1 ѕ+аёиѕ сирѕ.ѕегуісе 
сирѕ.ѕегуісе — СОРЅ Ргіпёіпе Зегу1се 
Іоайеа: 1оа4деа (/116/ѕуѕбета/ѕуѕёет/сирѕ.ѕегуісе; Яіѕар1еа ) 
Асііүуе: асЕ1уе (гиппіпв) ѕіпсе Тие, 21 Арг 2020 06:06:41... 
Маіп РТО: 17172 (сирѕӣ) 
Сбгоир: пате=ѕуѕбета: / ѕуѕёет/сирѕ.ѕегуісе 
17172 /иѕг/ѕріп/сирѕа -+# 


Параметр аіѕаб1е просто удаляет несколько файлов с помощью команды 
ѕуѕбетс+1. Обратите также внимание на то, что в предыдущем примере, хоть служба 
сирѕ и отключена, демон сирѕ все еще активен (работает) и должен быть остановлен 
вручную. Некоторые службы нельзя отключить с помощью демона ѕуѕќета. Таковы 
статические службы. Рассмотрим пример со службой ӣбиѕ . зегу1се: 


# ѕуѕёетс+1 ѕ+а+иѕ ЧБи$.5зегу1се 
ариѕ.ѕегуісе — р-Виѕ Ѕуѕёет Меѕѕаре Виз 
Іоайеа: Іоааеа (/116/ѕуѕћета/ ѕуѕ&ёет/абиѕ.ѕегуісе; ѕ+аііс) 
Асііме: асЕ1уе (гипп1пё) ѕіпсе Моп, 20 Арг 2020 12:35:... 
Маіп РТО: 707 (а6биѕ-даетоп) 


# ѕуѕёетс+1 415аб1е абиѕ.ѕегмісе 
# ѕуѕёетс+1 ѕ+а+иѕ ӣбиѕ.ѕегуісе 
ариѕ.ѕегуісе — р-Виѕ Ѕуѕёет Меѕѕаре Виѕ 
Іоайеа: 1Іоааеа (/116/ѕуѕћета/ ѕуѕ&ёет/абриѕ.ѕегуісе; ѕ+аііс) 
Асііүуе: асЕ1уе (гипп1пё) ѕіпсе Моп, 20 Арг 2020 12:35:... 
Маіп РТО: 707 (а6биѕ-даетоп) 


Когда команда ѕуѕ+етсё1 аіѕаБ1е задействуется для службы абиѕ . ѕегуісе, ни- 
чего не происходит. Помните: значение ѕ&аёіс означает, что служба включена по 
умолчанию и не может быть отключена даже суперпользователем. Иногда отключе- 
ния службы недостаточно, чтобы точно понять, что она не работает. Например, вам 
нужно, чтобы служба пеёмогк. зегу1се заменила службу МефмогКМапарег . ѕегуісе 
для запуска сетевых интерфейсов. 

Отключение службы МебуогКМапавег не позволит ей запуститься самостоя- 
тельно. Но если какая-то другая служба перечислит Меб\уогкМававег в качестве 
зависимости, то при запуске она попытается запустить и Меб\уоткМапазег. 
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Отключить службу так, чтобы она совсем перестала работать в системе, можно 
с помощью параметра таѕк. Например, чтобы настроить службу МеіуогкМапавег 
так, чтобы она никогда не запускалась, введите следующее: 


# ѕуѕіетс1 таѕк М№еёмогКМапарег. ѕегуісе 
Іп -5 '/аеу/пи11' '/ефс/зузфета/ ѕуѕёет/МеёлогКМапарег. ѕегуісе' 


Как видно из выходных данных, файл МеёмогКкМапарег. ѕегуісе в файле /еЁс 
связан с файлом /деу/пи11. Поэтому, даже если кто-то попытается запустить эту 
службу, ничего не произойдет. Чтобы снова задействовать эту службу, введите 
команду зузфетсЕ1 иптаѕк №емогКМапазег . ѕегуісе. 

Теперь, когда вы знаете, как сделать отдельные службы постоянными (и как 
отключить или замаскировать службы), необходимо взглянуть на группы служб 
в целом. Далее я расскажу, как запускать группы служб во время загрузки. 


Настройка уровня выполнения 
по умолчанию (целевого юнита) 


Постоянная служба — это служба, запускаемая во время загрузки сервера, а по- 
стоянный (по умолчанию) уровень выполнения, или целевой юнит, — это группа 
служб, запускаемых во время загрузки. Как классический $5уѕУіпі, так и Орзбагё 
определяют эти группы служб как уровни выполнения, а зуз+ета называет их 
целевыми юнитами. 


Настройка уровня выполнения 
по умолчанию демона 5уѕ\іпіё 


Постоянный уровень запуска для сервера пих с помощью Зуз Ут устанавлива- 
ется в файле /еёс/іпії++ар. Часть этого файла показана далее: 


# са /еЁс/іпі++аб 


# 
# іпіїбёаБ Тһіѕ +11е аеѕсгіреѕ һом {Ве ІМІТ ргосе$$ ѕһои1а 
# зеё ир Ве ѕуѕёет іп а сегёаіп гип-1еме1. 


іа: 5:іпі+ае+Ғаџ1+: 


Строка іпіёдеҒаи1+ в примере показывает, что текущий уровень выполнения по 
умолчанию — это уровень выполнения 5. Чтобы изменить это, просто отредакти- 
руйте файл /еёс/іпії+ар с помощью текстового редактора и измените 5 на один из 
уровней запуска: 2, З или 4. Не используйте уровни запуска 0 или 6 в этом файле! 
Это приведет к тому, что ваш сервер либо остановится, либо перезагрузится при 
запуске. 
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Для демона зузета целевые юниты относятся к группам служб, которые долж- 
ны быть запущены. Далее показаны различные целевые юниты, которые можно 
сделать постоянными, а также их обратно совместимые целевые юниты, подходя- 
щие для уровня выполнения: 


© пи1+і-иѕег.Еагреї =; 
= гуип1еме12.агреї; 
= гип1еме13.агреї; 
= гип1еме14.агреї; 


© ұгарһіса1.+агреї = гип1еуе15.Фагреї. 


Постоянный целевой юнит устанавливается с помощью символической ссылки 
на файл аефаи1+ .Еагре{ ип1*. Рассмотрим следующий пример: 


# 15 -1 /еїс/ѕуѕ+ета/ ѕуѕ+ет/аеҒаи1+ .Фагвеї 

Ігмхгихгих. 1 гоо гоо 36 Маг 13 17:27 
/еёс/ѕуѕёета/ ѕуѕ&ет/аеҒаи1+.Фагреї - > 
/116/ѕуѕбета/ ѕуѕ&ет/ гип1еме15 . агре 

# 15 -1 /116/5ѕуѕёета/ѕуѕ&ет/гип1еме15 . агре 

1Тгихгихгих. 1 гоо гооЕ 16 Маг 27 15:39 
/116/ѕуѕёета/ ѕуѕ&ет/гип1еме15.+агре -> 
вгарһіса1.агреї 


Здесь видно, что текущим постоянным целевым юнитом на этом сервере явля- 
ется гип1еуе15 .Еагре+, поскольку ӣеҒаџ1.агве — это символическая ссылка на 
файл юнита гип1еуе15 .+агре*. Но обратите внимание на то, что гип1еуе15 .+агре* 
также является символической ссылкой и указывает на ргарһіса1.ёагре+. Таким 
образом, текущий постоянный целевой юнит этого сервера — вгарһіса1.+агре+. 

Чтобы сделать другой целевой юнит постоянным, нужно просто изменить сим- 
волическую ссылку на ӣеҒаџ1+.агвеї. 

Последовательно придерживайтесь целевых юнитов уровня выполнения, если 
они используются на вашем сервере. В следующем примере команда зузетс*1 из- 
меняет постоянный целевой юнит сервера с вгарһіса1.Фагреї на ти1+і -иѕег.ёагреї: 


# зузфетсЕ1 реї-деҒаи1+ 
Бгарһіса1.+агреї 
# 
Ѕѕуѕіетс+1 ѕеї-дӢеҒаџ1+ гип1еме13.+агреї 
Кетоуеа /еёс/ѕуѕ+ета/ѕуѕ&ет/деҒаи1+.+агве+. 
Сгеа+еа ѕут1іпк /еёс/ѕуѕ+ета/ѕуѕ&ет/аеҒаџ1+.+агвеї -> 
/иѕг/116/5ѕуѕёета/ ѕуѕ+ет/ти1+1-иѕег.Фагре+. 
# Ѕуѕ+етсе1 реї-ӣеҒаи1+ 
ти1+1і-иѕег.ёагреї 


Когда сервер перезагружается, ти16і -иѕег.ёагвеї становится постоянным це- 
левым юнитом. В это время все службы в юните ти16і-иѕег.ёагвеї запускаются 
(активизируются). 
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Добавление новых или пользовательских служб 


Иногда требуется добавить новую службу для вашего сервера Ііпих. И возможно, 
вам придется настроить определенную службу самостоятельно. С этой целью 
необходимо выполнить определенные шаги для демона инициализации вашего 
Глпих-сервера, то есть управлять службой либо распознать ее пользовательские 
настройки. 


Добавление новых служб в 5узУтк 


При добавлении новой или пользовательской службы к серверу с помощью демо- 
на $уѕУіпіє необходимо выполнить определенные действия и позволить ЗузУ и 
управлять этой службой. 


1. Создать скрипт-файл для новой или пользовательской службы. 


2. Переместить скрипт новой или пользовательской службы в нужное место для 
управления демоном ЗузУши. 


3. Установить соответствующие права на скрипт. 


4. Добавить службу на определенный уровень выполнения. 


Шаг 1. Создать скрипт-файл для новой 
или пользовательской службы 


Если вы настраиваете существующий скрипт службы, просто сделайте копию ис- 
ходного файла юнита из файла /еёс/гс./іпі+.а и добавьте любые необходимые 
настройки. 

Если вы создаете новый скрипт, убедитесь, что применяете все необходимые 
параметры, которые команда ѕегуісе должна принимать, такие как $%аг\, ѕ+ор, 
геѕїагі ит. д. 

Создавая новый скрипт, особенно если это происходит в первый раз, было бы 
разумно скопировать текущий скрипт службы из файла /еїс/гс.ӣ/іпіє.а и изме- 
нить его под нужды службы. Рассмотрим пример скрипта службы сирѕа: 


# саї /ефс/гс.а9/1пт1*.А/сир$ 
#1/6іп/ѕћ 
# 


# сһксопҒір: 2345 25 10 

ѕФагі () { 
есһо -п $"5ФагЕ1пв $ргов: 
# эфагЕ даетоп 


даетоп Ф$ОАЕМОМ 
КЕТМАГ=$ ? 


Глава 15. Запуск и остановка служб 447 


есһо 
[ $ВЕТ\АЕ = 09 ] && +оисһ /маг/10оск/ѕирѕуѕ/сирѕ 
гефигп $КЕТ\УАЕ 


} 
ѕФор () { 
# фор даетоп 
есһо -п $"5Форр1пв $ргов: " 
К111ргос $ОАЕМОМ 
ВЕТУА! =$? 
есһо [ $ВЕТУАЕ = 0 ] && гт -+ /маг/10ск/ѕирѕуѕ/сирѕ 
} 
геѕ+аг() { 
$фор 
$фаге 
} 


саѕе $1 іп 


Скрипт службы сирѕ начинается с создания функций для каждого из параметров 
5фаг\, фор и пеѕ+агї. Если у вас возникли проблемы с написанием скриптов обо- 
лочки, обратитесь к главе 7 «Простейшие скрипты оболочки». 

Строка, которую обязательно нужно проверить и, возможно, изменить в новом 
скрипте, — это закомментированная строка сИКсоп+18, например: 


# сһксопҒір: 2345 25 10 


При добавлении скрипта службы на более позднем этапе команда сһксоп#ів 
считывает эту строку, чтобы установить уровни выполнения для служб зак (2, 
3, 4и 5), порядок выполнения, когда скрипт настроен на службы ѕёаг+ (25), и по- 
рядок завершения, когда он установлен на службы $%ор (10). Проверьте порядок 
загрузки на уровне выполнения по умолчанию, прежде чем добавлять собственный 
скрипт, как показано в примере: 


# 15 /еїс/гс5.а 


/ефс/гс5.а/522теззавеБи$ 
/ефс/гс5.а/523Ме&могКМапавег 
/еёс/гс5.1/524п#510ск 
/еёс/гс5.4/5240орепс+ 
/еёс/гс5.4/524грсвѕ554 
/еёс/гс5.4/52561к-ауаі1аБі1і+у 
/ефс/гс5.а/525сир$ 
/еёс/гс5.9/5$25 пе $ 
/ефс/гс5.а/526аср1а 
/еёс/гс5.1/526һа1аӢаетоп 
/ефс/гс5.а/526Нурегукура 
/еёс/гс5.4/526ийеу-роѕё 


В этом случае строка сһћксоп+ів в скрипте 525Му_№ем_Ѕегуісе приведет к добав- 
лению скрипта после 525сирѕ и перед 525пе+5ѕ в порядке загрузки. По желанию 
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можете изменить строку НКсоп1в в скрипте службы так, чтобы служба запускалась 
раньше (используйте меньшее число) или позже (возьмите большее число) в спи- 
ске скриптов службы. 


Шаг 2. Добавьте скрипт службы в файл /еїс/гс.а/іпіє.а 


После того как вы изменили или создали и протестировали файл скрипта службы, 
можете переместить его в нужное место — в файл /еёс/гс.а/іпі.а: 
# ср Му №ем Ѕегуісе /еїс/гс.а/іпії.а 


# 15 /еёс/гс.ӣ/іпі+.а/Му М№ем Ѕегуісе 
/еёс/гс.а/іпіё.а/Му Мем Ѕегуісе 


Шаг 3. Установите соответствующие права на скрипт 
Скрипт должен иметь права на выполнение: 


# сһтоа 755 /еіс/гс.а/іпіё.а/Му Мем Ѕегмісе 


Шаг 4. Добавьте службу в каталоги уровней выполнения 


Последний шаг настраивает скрипты службы для запуска и остановки на разных 
уровнях выполнения и проверяет, работают ли они. 


1. Чтобы добавить скрипт на основе строки сНКсоп1в в скрипт службы, введите 
следующее: 
# сһксопҒір --ааа Му №ем Ѕегуісе 
# 15 /ес/гс?./*Му М№Мм Ѕегуісе 
/еёс/гсӨ.а/К10Му М№ем Ѕегмісе /еЁс/гс4.4/525Му №ем Ѕегуісе 
/еёс/гс1.а/К10Му М№ем Ѕегмісе /еЁс/гс5.4/525Му №ем Ѕегуісе 


/ефс/гс2.4/525Му_Мем Ѕегмісе /еёс/гсб.а/К10Му №Мем Ѕегуісе 
/еёс/гс3.1/525Му М№ем Ѕегуісе 


Как и в предыдущем примере (сһксоп+ів: 2345 25 10), символические ссылки 
на скрипт устанавливают запуск службы в позиции 25 (525) для уровней вы- 
полнения 2, 3, 4 и 5. Кроме того, ссылки останавливаются (или не запускаются) 
на уровнях выполнения 0, 1 и 6. 


2. После того как вы создали символическую ссылку (ссылки), проверьте, что но- 
вая или измененная служба работает должным образом, прежде чем выполнять 
перезагрузку сервера. 

# зегу1се Му Мем Ѕегуісе ѕ+аг+ 


Ѕіагііпв Му №ем Ѕегуісе: [ок ] 
# ѕегуісе Му №Мем Ѕегуісе ѕїор 


Когда все готово, новая или измененная служба запускается на каждом уровне 
запуска, выбранном в системе. Кроме того, вы можете запустить или остановить 
ее вручную с помощью команды ѕегуісе. 
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Добавление новых служб к демону эу$ета 


При добавлении новой или пользовательской службы узета на сервер Глпих необ- 
ходимо выполнить три шага, чтобы передать управление службой демону зуз+ета. 


1. Создайте файл конфигурации для нового или пользовательского юнита службы. 


2. Переместите скрипт новой или пользовательской службы в нужное место для 
управления демоном ѕуѕёета. 


3. Добавьте службу к параметру мапёѕ целевого юнита, чтобы новая или пользо- 
вательская служба автоматически запускалась вместе с другими службами. 


Шаг 1. Создайте файл конфигурации для нового 
или пользовательского юнита службы 


Если вы изменяете файл конфигурации юнита службы, просто сделайте копию ис- 
ходного файла юнита из файла /116/ѕуѕета/ зуз+ет и добавьте все необходимые 
настройки. 

Для новых файлов нужно создать файл конфигурации юнита службы с нуля. 
Рассмотрим базовый шаблон файла юнита службы. Как минимум вам понадобятся 
описание и параметры Ехес$+аг для файла конфигурации юнита службы: 

# саф Му №ем_Ѕегуісе.ѕегуісе 
[911] 
реѕсгірііоп=Му №ем Ѕегуісе 


[5егуісе] 
ЕхесЅъагё= /иѕг/біп/Му Мем Ѕегуісе 


Для получения дополнительной информации о настройке или создании нового 
файла конфигурации юнита и нужных параметров воспользуйтесь справочными 
страницами. В командной строке введите тап зузета ѕегуісе, чтобы больше узнать 
о различных параметрах файла юнита службы. 


Шаг 2. Переместите файл конфигурации юнита службы 


Перед перемещением нового или измененного файла конфигурации службы необ- 
ходимо знать, что существует два возможных места хранения таких файлов. То ме- 
сто, которое вы выберете, определяет, вступят ли настройки в силу и останутся ли 
они постоянными при обновлении программного обеспечения. 

Поместите файл конфигурации юнита службы в одно из следующих двух мест. 


® Файл /еёс/ѕуѕёета/ѕуѕ+епт. 


= Это место расположения применяется для хранения пользовательских фай- 
лов конфигурации юнитов службы. 

= Здесь файлы не перезаписываются установкой или обновлениями программ- 
ного обеспечения. Файлы используются системой, даже если в каталоге 
/116/ѕуѕета/ ѕуѕёет есть файл с таким же именем. 
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® Файл /116/ѕуѕёета/ ѕуѕ+епт. 


= Это место расположения применяется для хранения файлов конфигурации 
юнитов служб. 


= Файлы здесь перезаписываются установкой и обновлениями программного 
обеспечения. Файлы используются системой только в том случае, если в ка- 
талоге /еёс/ ѕуѕёета/ ѕуѕёет нет файла с таким же именем. 


Таким образом, лучшее место для хранения нового или пользовательского 
файла конфигурации службы — это файл /еёс/ ѕуѕета/ ѕуѕ&ет. 


СОВЕТ 


Чтобы при создании новой или пользовательской службы изменение вступило в силу без перезагрузки сервера, 
необходимо выполнить специальную команду. В командной строке введите ѕуѕќетсії даетоп-ге[оай. 


Шаг 3. Добавьте службу в каталог параметра Мапіѕ 


Последний шаг необязателен. Его нужно делать только в том случае, если вы хо- 
тите, чтобы новая служба начиналась с определенного целевого юнита ѕуѕета. 
Чтобы служба была активизирована (запущена) конкретным целевым юнитом, 
она должна находиться в его каталоге Мап+ѕ. 

Вначале добавьте строку мапейву=еѕігей.ќагве? в нижнюю часть файла кон- 
фигурации юнита службы. В следующем примере видно, что желаемым целевым 
ЮНИТОМ ДЛЯ НОВОЙ службы является юнит ти1+і-иѕег.ёагре+: 


# са /еїс/ѕуѕ+ета/ѕуѕёет/Му Мем Ѕегмісе.ѕегуісе 
[91] 

реѕсгіріоп=Му М№ем РаКе $егу1се 

[5егуісе] 

ЕхесѕЅъагё= /иѕг/біп/Му №ем Ѕегуісе 

[1пѕ+а11] 

Мап+еаву=ти1+1і -иѕег. агре 


Чтобы добавить новый сервисный юнит в целевой, необходимо создать симво- 
лическую ссылку. В следующем примере показаны файлы, расположенные в ката- 
логе Мапёѕ юнита ти1{1-изег.Фагвет. Ранее в подразделе «Система инициализации 
ѕуѕсета» команда ѕуѕёетс1 использовалась для перечисления содержимого ката- 
лога Мапёѕ, и она по-прежнему является предпочтительным вариантом для этого. 
Обратите внимание на то, что в этом каталоге файлы являются символическими 
ссылками, указывающими на файлы конфигурации юнитов служб в каталоге /116/ 
зузета/ уз ет: 


# 15 /ес/ѕуѕёета/ѕуѕ+ет/ти1+1 -иѕег. агре .мап$ 
абгё-ссрр.ѕегуісе сирѕ.раїћ гето+е-+#5 .агреё 
абг+а. ѕегуісе Ғсое.ѕегуісе г5у5ѕ10р.ѕегмісе 
абгі-оорѕ.ѕегуісе ігаба1апсе.ѕегмісе ѕепӣтаі1.ѕегуісе 
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абг{-\утсоге . егу1се 11араа. ѕегуісе эт-с11еп{. ѕегуісе 
аба. ѕегуісе псе1ор . зегу1се ѕ5һа-кеуреп.ѕегуісе 
аиаі+а. ѕегуісе татоп1 ог. ѕегуісе ѕ5һа. ѕегуісе 


# 15 -1 /еїс/ѕуѕ+ета/ ѕуѕ+ет/ти1+1 -иѕег. агре .мапѕ 

о+а1 0 

Тгихгихгих. 1 гоо гооЁ 37 №\ 2 22:29 аргі-ссрр.ѕегуісе -> 
/116/зузфета/ ѕуѕ&ёет/абгё-ссрр.ѕегуісе 

Тгихгихгих. 1 гоо гооЁ 33 Му 2 22:29 арга. ѕегуісе -> 
/116/ѕуѕёета/ ѕуѕёет/абг+а. ѕегуісе 


Тгихгихгих. 1 гоо гоо 32 Арг 26 20:05 ѕ5һа.ѕегуісе -> 
/116/ѕуѕёета/ ѕуѕёет/ ѕ5һа. ѕегуісе 


Далее представлен процесс добавления файла символической ссылки для 
Му_М№Мем_ Ѕегуісе: 


# 11 -5 /еёс/ѕуѕ+ета/ѕуѕёет/Му №ем_Ѕегуісе.ѕегуісе 
/ес/ѕуѕ+ета/ ѕуѕ&ет/ти1+і -иѕег.+агвеї.мапёѕ/Му М№ем Ѕегуісе. ѕегуісе 


Символическая ссылка создается в каталоге ти1&і-иѕег. агре .мапіёѕ. Теперь 
новая служба Му_Мем_бегу1се активизируется (запускается) при активизации 
юнита ти161 -иѕег.Еагреї. 


СОВЕТ 


Если вы хотите изменить целевой юнит ѕуѕіета для службы, необходимо изменить символическую ссылку так, 
чтобы она указывала на новое целевое местоположение каталога Мапїѕ. Примените команду [п -$, чтобы при- 
нудительно разорвать любую текущую символическую ссылку и принудительно назначить новую. 


Приведенные ранее шаги добавят новую или пользовательскую службу на 
сервер Тлпих ѕуѕета. Помните, что новая служба не запустится до перезагрузки 
сервера. Чтобы запустить новую службу перед перезагрузкой, задействуйте коман- 
ды, рассмотренные в подразделе «Остановка и запуск служб». 


Резюме 


Способ запуска и остановки служб зависит от того, какой демон инициализации 
применяет ваш Тлпих-сервер: ЗузУши, Орѕќагё или Зузета. Прежде чем при- 
ступить к управлению службами, обязательно воспользуйтесь примерами из этой 
главы, чтобы определить демон инициализации вашего Тлпих-сервера. 

Принципы запуска и остановки служб сочетаются с другими принципами 
управления службами, такими как: создание постоянных служб, запуск определен- 
ных служб во время загрузки сервера, перезагрузка службы и перезапуск службы. 
Понимание этого очень полезно, поскольку в следующей главе мы будем рассма- 
тривать процесс настройки сервера печати пих и управления им. 


452 Часть М • Администрирование серверов в Шпих 


Упражнения 


Используйте материалы этой главы, чтобы выполнить следующие упражнения. 
Если затрудняетесь с решением заданий, посмотрите ответы к упражнениям, приве- 
денные в приложении Б (хотя Глпих позволяет решать задачи разными способами). 
Выполните все упражнения, прежде чем переходить к ответам. Задачи подходят 
для систем Еейога или Кеа Наё Ещегри1зе Глпих (некоторые сработают и в других 
системах пих). 


1. 


10. 


Определите, какой демон инициализации в данный момент использует ваш 
сервер. 

Какую команду можно применить для проверки состояния демона ѕѕһа в за- 
висимости от демона инициализации, используемого на сервере тих? 
Определите предыдущий и текущий уровни выполнения своего сервера. 


Как вы можете изменить уровень выполнения по умолчанию или целевой юнит 
на своем сервере іпих? 


Какие команды перечисляют службы, запущенные (или активные) на вашем 
сервере для каждого демона инициализации? 


Перечислите запущенные (или активные) службы на своем Глпих-сервере. 


Какие команды показывают текущее состояние конкретной службы для каждого 
демона инициализации? 


Отобразите состояние демона сирѕ на своем Глпих-сервере. 
Попробуйте перезапустить демон сирѕ на своем Глпих-сервере. 
Попробуйте перезагрузить демон сирѕ на своем Глпих-сервере. 


Настройка сервера 
печати 


В этой главе 


и Печать в Ипих. 

ш Настройка принтеров. 

ш Команды печати. 

ш Управление печатью документов. 
ш Удаленные принтеры. 


Вы можете настроить свою систему Глпих для использования принтеров, под- 
ключенных непосредственно к ней (через О5В-порт) или доступных по сети. 
Аналогично любой принтер, настроенный в локальной системе, может совместно 
применяться пользователями других систем Глпих, \\п4о\$ или тасО$ в качестве 
сервера печати. 

Вы настраиваете принтер как собственный принтер Глпих в Еейога, ВНЕТ, 
ХЪипёи и других системах Глпиах с помощью общей системы печати (МХ (Соттоп 
МХ Ргіпбіпе Зузет, СОР5). Чтобы настроить принтер в качестве сервера печати 
в стиле МісгоѕоЌ У/т4о\з, можно использовать службу Ѕатђа в Глпих. 

В этой же главе мы рассмотрим сервер печати СОР5. В частности, он предо- 
ставляет графический интерфейс, называемый Рип 5епо$ (Настройки принтера), 
который имеется в Еейога, Вей Наб Епќегргіѕе Піпих и других дистрибутивах Гіпих. 
С помощью окна Ргіпё бе поз (Настройки принтера), вы также можете настроить 
свои принтеры в качестве серверов печати, чтобы другие пользователи имели воз- 
можность печатать на них документы со своих компьютеров. 

Если у вас нет рабочего стола или вы хотите печатать из скрипта оболочки, в этой 
главе найдете информацию о том, как применять команды печати. Из командной 
строки доступны команды печати, например 1р. Есть также команды для запроса 
печати в очереди (1Р9), управления очередями печати (сирѕепар1е, сир$915а61е 
и сирѕгејес+) и удаления очередей печати (1ргт). 
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Общая система печати ОМ№МІХ 


Система СОР5 стала стандартом для печати в Піпих и других ОМХ-подобных 
операционных системах. Она была разработана, чтобы удовлетворить современ- 
ные потребности в стандартизированных определениях принтеров и совместном 
использовании по сети на основе интернет-протоколов (как и большинство ком- 
пьютерных сетей сегодня). 

В настоящее время практически любой дистрибутив Глпих включает в себя 
систему СОР для обслуживания печати. Перечислю некоторые особенности этой 
службы. 


ө Протокол ІРР (Пцегпеё Ргіпіпе Ргоосо!). Служба СОР основана на про- 
токоле межсетевой печати (уумм.ру9.ого/ірр). Это стандарт, созданный для упро- 
щения совместного использования принтеров по ТР-сетям. Через протокол ІРР 
серверы принтеров и клиенты, которые хотят печатать, могут обмениваться ин- 
формацией о модели и функциях принтера с помощью протокола НТТР (то есть 
веб-содержимого). Сервер также может отображать, доступен ли принтер, 
чтобы клиент печати мог легко найти список локально доступных принтеров 
без дополнительных настроек. 


® Драйверы. Служба СОР$ стандартизировала процесс создания драйверов 
принтера. Идея состояла в наличии общего формата, который могли бы ис- 
пользовать производители принтеров, чтобы драйвер был способен работать 
во всех типах ОМГХ-систем. Таким образом, производитель мог создать только 
один драйвер, который годился бы и для Ііпих, и для тасОЗ Х, и для других 
производных ОМІХ. 


® Классы принтеров. Классы принтеров можно использовать для создания не- 
скольких серверов печати, применяющих один и тот же принтер, или одного 
сервера печати, задействующего несколько принтеров. В первом случае несколь- 
ко серверов могут иметь разные параметры (например, вывод на определенный 
лоток для бумаги или печать с определенными размерами символов или поля- 
ми). Во втором варианте вы можете иметь пул принтеров, чтобы распределить 
печать. В этом случае неисправный принтер или принтер, работающий с очень 
большими документами, не остановит весь процесс печати. Служба СИР$ также 
поддерживает неявные классы, которые формируются путем автоматического 
слияния идентичных сетевых принтеров. 


® Обзор принтеров. При просмотре принтеров клиентские компьютеры могут 
видеть все доступные принтеры СОР5 в вашей локальной сети. В результате 
клиенты могут выбрать принтеры, которые будут использовать, среди доступ- 
ных в сети, причем им нет необходимости заранее знать, как на самом деле назы- 
ваются принтеры и куда они подключены. Вы можете отключить эту функцию, 
чтобы другие пользователи локальной сети не могли видеть принтер. 
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Команды печати ОМХ. Для интеграции в Глпах и другие среды ОМІХ служба 
СОР5 позволяет задействовать стандартные версии команд для печати и управ- 
ления принтерами, которые обычно использовались в системах МІХ. 


Вы можете настроить печать СОР$ и без помощи окна Ргіпё 5е поз (Настройки 


принтера) — другими способами. 


Настройка службы СОР$ из браузера. Проект службы СОР$ предлагает 
веб-интерфейс для добавления принтеров и управления ими. При запущенной 
службе сирѕа введите 1оса1Но5* : 631 в браузере на компьютере, чтобы управлять 
печатью. (См. подраздел «Веб-администрирование службы СОР5» далее в этой 
главе.) 


Настройка службы СОР$ вручную. Вы можете настроить СОРЅ вручную, 
то есть отредактировать файлы конфигурации и запустить демон сирѕа из ко- 
мандной строки. 


Файлы конфигурации для СОР5 содержатся в каталоге /еёс/сирѕ. В частности, 


нам нужны файл сирѕа. соп, который определяет права, аутентификацию и другую 
информацию для демона принтера, а также файл ргіпёегѕ. соп, определяющий 
адреса и параметры настроенных принтеров. Файл с1аѕѕеѕ. соп# определяет ло- 
кальные классы принтера. 


Печать из системы \1940%$ 
с помощью службы СОР$ 


Выполнить печать через СОРЅ можно и из систем, отличных от ОМІХ. Например, 
вы можете использовать драйвер принтера РозЕЗст!рё для печати непосредственно из 
системы У/п4о\$ на сервер СОР$. Или применять СОР$ без изменений, настроив 
компьютер М№іпіоуѕ с помощью драйвера РоѕЅсгіре, который будет задействовать 
ргіпёѕегуегпате : 631/ргіпёегѕ /агреЕРг1пеег как печатный порт. 


Плюс ко всему вы можете использовать собственные драйверы принтера М№іпаоуѕ 
для принтера вместо драйвера РоѕЅсгіре. Если собственный драйвер №МіпӢомѕ 
не работает в очереди печати СОР$, можно включить печать без обработки данных 
Вах Ргіпе Опеџе. Такая печать непосредственно использует данные из собственного 
драйвера печати \/п4о\$ и выводит ее на принтер. 


Чтобы использовать службу СОРЅ, необходимо установить пакет сирѕ в дис- 


трибутиве Еейога или ВНЕГ. Большинство настольных дистрибутивов Глпих 
подключают службу СОР5 во время начальной установки системы. Если служба 
не установлена в Еедога или ВНЕГ, сделайте это, набрав следующую команду: 


# ушт іпѕ+а11 сирѕ сирѕ-с1іепё 
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Настройка принтеров 


Обычно лучше всего пользоваться инструментами администрирования прин- 
тера, специально разработанными для вашего дистрибутива, однако многие 
системы Глпих полагаются на инструменты, входящие в состав программного 
пакета СОР5. 

В следующих разделах описано, как применять веб-инструменты администри- 
рования СИОР$. Затем будет рассмотрен инструмент настройки печати ѕуѕёет- 
соп1 в -рг1пеег, доступный в системах Ееога. В некоторых случаях настройка 
не требуется, поскольку система может автоматически обнаруживать и настраивать 
подключенные принтеры. Чтобы установить инструмент Ргіпі 5епдз (Настройки 
принтера) в Еейога от имени суперпользователя, введите следующую команду ап# 
(или уит): 


# уит 11$%а11 ѕуѕ+ет-сопҒір-ргіпёег 


Добавление принтера автоматически 


Принтер СОР$ можно настроить и автоматически транслировать в сеть, чтобы 
компьютер-клиент мог его обнаружить и использовать без настройки. Подключите 
О 5В-принтер к компьютеру, и он будет автоматически обнаружен и настроен. 

На самом деле, если вы подключаете локальный принтер в дистрибутиве Еейога 
и драйвер печати еще не установлен, система предложит установить пакеты про- 
граммного обеспечения, необходимые для использования принтера. 

После первого перехода к печати документа или применения инструмента Рип 
Ѕейіпдѕ (Настройки принтера) принтеры будут готовы к работе. Дальнейшую на- 
стройку можно выполнить с помощью веб-инструмента администрирования СОР$ 
или окна Рип бе подс (Настройки принтера). 


Веб-администрирование службы СУР$ 


Служба СОР$ имеет собственный веб-инструмент администрирования для до- 
бавления, удаления и изменения конфигураций принтеров на вашем компьютере. 
Служба печати СОР$ (с помощью демона сирѕаӣ) прослушивает порт 631 и обе- 
спечивает доступ к веб-административному интерфейсу СОР$ и совместному 
использованию принтеров. 

Если служба СОРЅ уже запущена на вашем компьютере, можете сразу же за- 
действовать веб-администрирование СОР$ из своего браузера. Чтобы узнать, 
работает ли служба, и начать настройку принтеров, откройте браузер на локальном 
компьютере и введите следующее: Ир: //1оса1Но$* :631/. 

Появится запрос на ввод имени пользователя и пароля для тех функций, кото- 
рые этого требуют. В таком случае введите имя суперпользователя и пароль и на- 
жмите кнопку ОК. Появится такое окно, как на рис. 16.1. 
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СУР$.ога 9 Астіпіѕігайоп Сіаѕѕеѕ Нер Чобз Римегз 


СУР$ 2.2.11 


СУР$ 1$ ће запдагаз-Базед, ореп зоигсе ргіпіпо зуз{ет деуеіореа Бу Арріе пс. ог тасО$® апа оћег ОМІХе-іке 
орегайпд зузетз. 


СУР$ їог Чзег$ СУР$ {ог Аатит та югз СОР {ог Оемеюорегз 

Оуегмем о СУР$ Адата Ригцегз апа СІаѕѕеѕ Іпітоаисіїоп © СУР$ Ргодгаттіпо 

Соттапа-.іпе Рипбпд апа Оріоп= Мападта Орегайоп РоЇісіеѕ СУР$ АРІ 

Озег Рогит Оѕіпо Мемок Рип{ег$ Рег апа Васкепа Ргодгаттіпо 
сирѕа.сопі Веѓегепсе НТТР апа ІРР АРіѕ 


Оеме!орег Рогит 


Рис. 16.1. Веб-администрирование СОРЅ 


Удаленное администрирование печати 


По умолчанию веб-администрирование СОР$ доступно только с локального хоста. 
Чтобы получить доступ к веб-администрированию СОР$ с другого компьютера, 
перейдите на главную страницу СОР$. 


1. Выберите вкладку Айтіпіѕігайоп (Администрирование). 


2. Установите флажок А!о\м гетое аатіпіѕігайоп (Разрешить удаленное администри- 
рование). 


3. Нажмите кнопку Сһапде 5епод$ (Сохранить). 


Затем откройте брандмауэр своего компьютера, чтобы разрешить подключение 
к ТСР-порту 631 для доступа к службе. После этого из любого браузера в локаль- 
ной сети вы можете получить доступ к странице администрирования СОР5, перей- 
дя на порт 631 на сервере СОРЅ (например, һоѕё.ехатр1е.сот:631). 

Возможно, потребуется перезапустить службу СИР$, чтобы изменения всту- 
пили в силу, командой ѕуѕёетс&1 геѕќагї сирѕ зегу1се. Чтобы работать с брау- 
зером от имени суперпользователя, необходимо ввести имя суперпользователя 
и пароль. 


Добавление принтеров 


Чтобы настроить принтер, который не обнаруживается автоматически, добавьте его 
в окне Айтіпіѕігайоп (Администрирование). Добавить принтер можно следующим 
образом. 


1. Нажмите кнопку Ада Ргіпёег (Добавить принтер). Появится соответствующее 
окно. 
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Выберите устройство, к которому подключен принтер. Он может быть под- 
ключен локально к параллельному порту, $С$Т, последовательному порту или 
О 5В-порту непосредственно на компьютере. Кроме того, можете выбрать тип 
сетевого подключения для принтеров АррІе (АррзЗоскеё или НР ] её П1тес®), 
протокола интернет-печати (һеЄр, ПЕ рз, іррѕ или 1рр) или \ш4о\уз Ргицег 
(с использованием Ѕатђа или $МВ). 


Откроется окно, в котором необходимо ввести дополнительную информацию 
о подключении к принтеру. Например, может понадобиться указать сетевой 
адрес принтера ІРР или ЅатБа. 


Введите название, расположение и описание принтера, выберите, хотите ли вы 
предоставить общий доступ к нему, и нажмите кнопку Сопёпие (Продолжить). 


Выберите марку принтера в списке Сгеаќе (Создать). Если вы не видите в списке 
производителя вашего принтера, выберите РоѕЅсгірі для принтера РоѕіЅсгірё или 
НР для принтера РСІ. Для данного производителя можете указать конкретную 
модель. 


Настройте принтер. Если нужно установить определенные параметры печати, 
сделайте это. Затем выберите пункт Ѕеї Ргіпіег Оріопѕ (Сохранить параметры), 
чтобы продолжить. 

Теперь новый принтер должен быть доступен. Если он успешно добавлен, щелк- 
ните на его имени, чтобы открылась новая страница. На ней можно выбрать 
вкладку Маіпќепапсе (Обслуживание), чтобы распечатать пробную страницу, или 
Аатіпіѕігайоп (Администрирование), чтобы изменить параметры принтера. 


Выполнив базовую настройку принтера, можно продолжать работу с принтерами. 


Варианты того, что можно сделать, следующие. 


Просмотреть активные задания принтера. Нажмите кнопку Ѕћо% А! 206$ (По- 
казать активные задания), чтобы увидеть, какие задания печати в данный мо- 
мент активны на любом из принтеров, настроенных для этого сервера. Нажмите 
кнопку пом! Сотріеќеа 205$ (Показать завершенные задания), чтобы просмотреть 
информацию об уже готовых заданиях. 


Создать группу принтеров. Перейдите на вкладку Айтіпіѕігайоп (Администри- 
рование), нажмите кнопку Ааа Сіаѕѕ (Добавить группу) и укажите название, 
описание и расположение группы принтеров. В списке Ргіпќегѕ (Метбегѕ) (Состав 
группы) выберите принтеры на сервере, которые будут входить в нее. 


Отменить или переместить задания. Если вы по ошибке начали печать 100 стра- 
ниц или принтер засорился, очень пригодится функция отмены заданий. А если 
отправили задание не на тот принтер, поможет функция перемещения заданий. 
На вкладке Айтіпіѕігаіоп (Администрирование) выберите пункт Мападе 206$ 
(Управление заданиями), а затем нажмите кнопку Ѕһом Асвуе 206$ (Показать все 
задания), чтобы увидеть, какие задания в данный момент находятся в очереди. 
Нажмите кнопку Сапсе! 306 (Отменить задание) рядом с заданием, чтобы отме- 
нить его. Выберите кнопку Мохе ЈоЬ (Переместить задание), чтобы переместить 
его на другой принтер. 
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® Обзор принтеров. Перейдите на вкладку Ргіпќегѕ (Принтеры) в верхней ча- 
сти любой веб-страницы СОР$, чтобы увидеть все настроенные принтеры. 
Для каждого принтера можно выбрать задачи Май\епапсе (Обслуживание) 
или Айтіпіѕігайме (Администрирование). В разделе Маіпіепапсе (Обслуживание) 
выберите вариант Раизе Рищег (Приостановить принтер), чтобы принтер оста- 
новил печать, но по-прежнему мог принимать задания в очередь. Вариант Вејесі 
205$ (Не принимать задания) запрещает принтеру принимать новые задания 
в данный момент. Вариант Мохе А! 205$ (Переместить все задания) перемещает 
все задания на другой принтер. Вариант Сапсе! А! Јобѕ (Отменить все задания) 
удаляет все задания печати. Вариант Рип Тез Раде (Печать пробной страницы) 
задает распечатку пробной страницы. На рис. 16.2 показана вкладка Рипегз 
(Принтеры) для конкретного принтера. 


СУР$.ога Ноте Аатиизнавоп С!аззез Нер Јоьѕ 9 


аеѕкјеї 


деѕкјеї (14е, Ассерііпо Јобѕ, Ѕһагеа) 


| Маицепаке м | Адтіпіѕігайоп МА | 


Оеѕсгіріїоп: деѕікјеї 
1 осайоп: аеѕкјеї 
Огімег: НР ОеѕкЈеї 550С - СИР5$+Сщеприп! у5.2.14 Ѕітріібеа (со|ог) 
СоппесНоп: ћір5:/192.168.122.1:631Лрр/аеѕкје 
Ое{аиК$: јоБ-ѕһееіѕ=попе, попе тедіа=па_Іеќег_8.5х11іп ѕідеѕ=опе-ѕідеа 


ЈоЬзѕ 


Ѕеагсћ іп дезкјеі:| | Ѕеагсһ | Сіеаг 


Ѕһом Сотріеёед ЈоЬ= | | Ѕһом АЦ ЈоЬє | 


Јобѕ |іѕіеа іп рип! огаег; һе!а јобѕ арреаг ћгєї. 


Рис. 16.2. На вкладке Принтеры производится управление принтером 


Инструмент Настройки принтера (Ргіпё Ѕеїіпдѕ) 


В дистрибутиве Еейога настраивать принтеры можно в окне Ргіпё 5е&тдз (На- 
стройки принтера). Я рекомендую использовать этот инструмент вместо веб- 
администрирования СОР5, поскольку файлы конфигурации принтера адапти- 
руются для работы с тем, как служба СОР$ запускается в системах в ЕеЯога. 
После установки пакета (ап+ іпѕ&а11 ѕуѕет- сопҒів-ргіпёег), чтобы установить 
принтер с рабочего стола СМОМЕ, откройте окно Ргіпї Ѕейіпоѕ (Настройки прин- 
тера), введя Ргіпе Зе Яп5$ в строке поиска окна Асіуїіеѕ (Приложения) или, как 
суперпользователь, набрав команду ѕуѕ&ет- сопҒів-ргіптег. Этот инструмент 
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позволяет добавлять и удалять принтеры и редактировать их свойства. Он также 
позволяет отправлять на эти принтеры пробные страницы, чтобы убедиться, что 
они работают правильно. 

Суть здесь заключается в том, что вы настраиваете принтеры, управляемые 
вашим демоном печати (сирз4 для службы СОР). После настройки принтера 
пользователи локальной системы могут работать с ним. Обратитесь к разделу 
«Настройка сервера печати», чтобы узнать, как сделать сервер доступным для 
пользователей с других компьютеров в вашей сети. 

Принтеры могут быть подключены непосредственно к вашему компьютеру (на- 
пример, через ОЅВ-порт) или к другому компьютеру в сети (например, из другой 
системы ОМІХ или \/ 140%). 


Настройка локальных принтеров 
в окне Настройки принтера 


Добавьте локальный принтер (другими словами, принтер, подключенный не- 
посредственно к компьютеру) в окно Ргіпегѕ (Принтеры), выполнив следующие 
действия. 

Добавление локального принтера. Для добавления локального принтера с ра- 
бочего стола СМО МЕ в последней версии системы Еейога проделайте следующее. 


1. Чтобы открыть окно РипЕ бе таз (Настройки принтера), введите следующую 
команду: 


# ѕуѕбет-сопҒіє-ргіпёег & 


Появится соответствующее окно. 


2. Нажмите кнопку Ада (Добавить). (Нажмите кнопку Аајиѕі Бігема!і (Настроить 
брандмауэр), чтобы разрешить доступ к порту принтера 631, если появится окно 
с запросом.) Появится окно №ем Ргіпќег (Новый принтер). 


3. Если нужный принтер обнаружен автоматически, просто выберите его и на- 
жмите кнопку Ромага. Если же не обнаружен, выберите устройство, к кото- 
рому подключен принтер (Г.РТ #1 и последовательный порт #1 — это первые 
параллельный и последовательный порты соответственно), и нажмите кнопку 
Ромага. (Введите команду /изг/ ѕбіп/ 1ріпЁо-у | 1еѕ55 В оболочке, чтобы увидеть 
типы подключений принтера.) Окно предложит идентифицировать драйвер 
принтера. 

4. Чтобы использовать установленный драйвер для принтера, выберите пункт 
ЅеІесї Ригцег Бгот РабаБазе (Выберите принтер из базы данных), а затем — произ- 
водителя принтера. В качестве альтернативы можете выбрать вариант Ргомае РРО 
Ее (Предоставить РРО-файл) и добавить собственный РРО-файл (например, 
если у вас есть принтер, который не поддерживается в пих, и есть драйвер, 
поставляемый вместе с принтером). РРО расшифровывается РоѕЅсгірї Ртищег 
ПЮеѕсгірйоп. Нажмите кнопку Ромага, чтобы просмотреть список моделей прин- 
теров. 
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СОВЕТ 


Если ваш принтер не отображается в списке, но поддерживает РСІ (язык управления принтером НР), попробуй- 
те выбрать один из принтеров НР (например, НР ГаѕегЈеї). Если ваш принтер поддерживает Ро$сири, выберите 
РоѕіЅсгірї ргіпќег из списка. Вариант Каму РипЕ Оиеие позволяет отправлять уже отформатированные для конкрет- 
ного принтера документы на определенный принтер. 


5. Выбрав модель принтера, укажите драйвер, который будете использовать, а за- 
тем нажмите кнопку Рогмага, чтобы продолжить. 


6. Добавьте следующую информацию и нажмите кнопку Ропмага: 
= Ргіпіег Мате (Имя принтера). Добавьте имя, которое вы хотите присвоить 
принтеру. Имя должно начинаться с буквы, после нее могут стоять буквы, 
цифры, дефисы (-) и подчеркивания (_). Например, принтер НР на компью- 
тере с именем тар1е можно назвать һр-тар1е; 


= "еѕсгіріоп (Описание). Добавьте несколько слов, описывающих принтер, напри- 
мер его функции (допустим, «НР Тазег] её 2100М с поддержкой РС. и Р5»); 


= [осайоп (Расположение). Добавьте несколько слов, описывающих, где на- 
ходится принтер (например, «В комнате 205 под кофеваркой»). 


7. Добавив принтер, нажмите кнопку № (Нет) или Уез (Да), отвечая на пред- 
ложение напечатать пробную страницу. Новый принтер появится в окне Рип 
Ѕейіпдѕ (Настройки принтера). Дважды щелкните на нем, чтобы открыть окно 
его свойств Ргіпіег Ргорегіеѕ (рис. 16.3). 


Ргіпёег Ргорегіеѕ - 'еѕкјеё-5550' оп ІосаіҺоѕ& 


Ѕеєіпдѕ 
Ројісіеѕ Оеѕсгірі с 
ѕсгіріоп: һр дезКе{ 5550 
Ассеѕѕ СопќгоЇ СЕУ 
Рипкег Оропѕ Іосаќіоп: ћоѕ{1.ехатріе.сот 
Јо Орбспз Оемісе ВІ: иѕЬ:/Љр/аеѕијех2055  иѕьЉр/бевјекх2055 | Сһапде... 
|пК/Топег Геме15 
Маке апа Моде]: | НР БезК/е{ 5550 - СО | Сһапде... | 
Рипкег Ѕќаёе: пае Кепдейпд сотріеќед 
Теѕёѕ апа Маіпёепапсе 


Риге Теѕ Раде 


Рис. 16.3. Окно Римег Ргорегііеѕ 
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8. Чтобы сделать устройство принтером по умолчанию, щелкните на нем правой 
кнопкой мыши и выберите Ѕеї Аз Реѓаиќ (Использовать по умолчанию). При до- 
бавлении других принтеров можете изменить принтер по умолчанию, выбрав 
нужный и снова указав Ѕеї Аз Реѓаиќ (Использовать по умолчанию). 


9. Проверьте, работает ли принтер. Откройте окно Тегтіпаі (Терминал) и примени- 
те команду 1р для печати файла (например, 1р /ес/һоѕ+ѕ). Чтобы узнать, как 
использовать этот принтер совместно с другими компьютерами в своей сети, 
обратитесь к разделу «Настройка сервера печати» далее в этой главе. 


Настройка локального принтера. Дважды щелкнув на нужном принтере, вы- 
берите один из следующих пунктов меню, чтобы изменить его настройку. 


® Сейіпдѕ (Параметры). В этом диалоговом окне отображаются настройки Юреѕсгіріоп 
(Описание), Іосайоп (Размещение), Вемсе ОВІ (О ВТ устройства), а также сведе- 
ния Маке апа Моде! (Марка и модель), добавленные ранее. 


® Роіісіеѕ (Политики). Щелкните на вкладке РоЇісіеѕ (Политики), чтобы задать 
следующие настройки: 


= біаіе (Состояние). Установите флажок Епабіеа (Разрешен), чтобы указать, 
будет ли принтер печатать задания, находящиеся в очереди. Пункт Ассеріпо 
2055 (Прием заданий) разрешает принтеру принимать новые задания для 
печати. Пункт Ѕћагеа (Общий доступ) позволяет принтеру быть доступным 
для совместного применения другими компьютерами. Необходимо вы- 
брать вариант Ѕегуег бе тд$ (Настройки сервера) и установить флажок Ѕһћаге 
РибйзВед ритщег$ соппесѓеа їо {115 ѕуѕіет (Совместно использовать общедоступ- 
ные принтеры, подключенные к этой системе), прежде чем принтер будет 
принимать задания печати с других компьютеров; 


= Ројісіеѕ (Политики). При ошибке можно выбрать вариант остановки принте- 
ра. Есть также вариант абок-јоБ (отменить задание) или геігу-јор (повторить) 
в случае возникновения ошибки; 


= Ваппег (Заголовок). По умолчанию для принтера нет начальных и заверша- 
ющих заголовков. Выберите нужный заголовок, который может содержать 
текст Сіаѕѕійеа, Сопћаепійаі, Ѕесгеї и др. 


© Ассеѕѕ Сопіго! (Управление доступом). Если ваш принтер является общим, перей- 
дите в это окно, чтобы создать список пользователей, которым разрешен доступ 
к принтеру (всем остальным запрещен) либо он запрещен (всем остальным 
разрешен). 

® Римег Оріопѕ. Выберите вкладку Ргіпіег Оріопѕ, чтобы установить значения по 
умолчанию параметров, связанных с драйвером принтера. Для разных принте- 
ров доступны различные параметры. Многие из них могут быть переопределены 
при печати документа. Вот примеры вариантов, возможных в этом окне: 


= \\Маегтагк (Водяной знак). Вы можете добавлять и изменять водяные знаки 
на печатных страницах. По умолчанию водяной знак отключен. Выбрав 
Үаќегтагк (Водяной знак) (за текстом) или Омепау (Наложение) (над тек- 
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стом), можете установить дополнительные параметры. Водяные знаки могут 
быть на каждой странице — вариант А! (Все) или только на первой страни- 
це — вариант Еігѕї Опу (Только первая страница). Выберите пункт М аегтагк 
Тех (Текст водяного знака), чтобы выбрать текст для водяного знака или 
наложения (Огай (Черновик), Сору (Копия), СопЯдепна! (Конфиденциально), 
Ғіпаі (Финальный) и др.). Затем можете выбрать тип шрифта, размер, стиль 
и непрозрачность водяного знака или наложения; 


= Реѕоіийоп Епһапсетеп (Повышение разрешения). Можете оставить текущие 
настройки принтера или включить либо выключить повышение разрешения; 


= Раде те (Размер страницы). По умолчанию используется американский раз- 
мер страницы, но можно настроить принтер так, чтобы он печатал страницы 
в других вариантах из раскрывающегося списка; 


=" Меда Ѕошсе (Источник бумаги). Выберите лоток для печати. Укажите Тгау 1 
(Верхний лоток), чтобы вставить бумагу вручную; 


= [еме о Сгау (Оттенки серого). Выберите текущий, повышенный или стан- 
дартный уровень серого; 


= Веѕоіийоп (Разрешение). Выберите разрешение печати по умолчанию (на- 
пример, 300, 600 или 1200 точек на дюйм). Более высокое разрешение обе- 
спечивает лучшее качество печати, но занимает больше времени; 


= ЕсопоМоае (Экономичный режим). Для принтера доступны три режима: 
текущий, экономный (экономия тонера) и режим максимального качества. 


® Јор Оріопѕ (Параметры задания). Нажмите эту кнопку, чтобы задать общие 
параметры по умолчанию, которые будут использоваться для этого принте- 
ра. К ним относятся Соттоп ОрНоп$ (Общие настройки) — количество копий, 
ориентация, масштаб, количество страниц на одном листе; 1таде Оріопѕ (Па- 
раметры изображения) — масштаб, насыщенность, цветовой тон и гамма; Тех 
ОрНоп$ (Параметры текста) — количество знаков на дюйм, линий на дюйм 
и параметры полей. 


® ТпКк/Топег ІемеІѕ (Уровни чернил/тонера). Выберите эту вкладку, чтобы про- 
смотреть информацию о том, сколько чернил или тонера осталось в принтере. 
(Не все принтеры сообщают эти значения.) 


Нажмите кнопку Арру, внося нужные изменения. 


Настройка удаленных принтеров 


Чтобы использовать принтер, доступный в сети, вы должны добавить его к сво- 
ей системе Глпих. Система поддерживает удаленные подключения принтера: 
Мебуогкей СОРЅ (ІРР), принтеры, принтеры МеботкеЯ ОМІХ (ТРО), принтеры 
Мебуогкей №іпао%ѕ (ЅатђБа) и принтеры Јеігесе. (Конечно, и СОР, и Опіх- 
серверы печати могут быть запущены как из систем Гіпих, так и из других ОМХ- 
подобных систем.) 
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Во всех случаях необходимо сетевое подключение вашей системы Глпих к сер- 
верам, к которым подключены эти принтеры. Для использования удаленного 
принтера требуется, чтобы он был настроен на удаленном сервере. См. раздел 
«Настройка сервера печати» далее в этой главе, чтобы узнать, как это сделать на 
вашем сервере Глпих. 

С помощью окна РипЕ 5епд$ (Настройки принтера) (зу$ет-соп1в-рг4ифег) 
можно настроить подключение к удаленным принтерам. Вот как это делается. 


1. В окне Асімїйеѕ (Приложения) в СМОМЕ З в поле поиска введите Ргіпё Ѕеёёіпвѕ 
и нажмите клавишу Епїег. 
2. Нажмите кнопку Ада (Добавить). Появится окно М№ем Ргіпќег (Новый принтер). 
З. В зависимости от типов портов, поддерживаемых на вашем компьютере, вы- 
берите один из вариантов: 
= ІРТ #1. Используйте этот вариант для принтера, подключенного к парал- 
лельному порту; 
= сена Рог #1. Применяйте для принтера, подключенного к последовательному 
порту; 
= Меблогк Ргіпќег. В этом варианте можно выполнить поиск сетевых принтеров 

(по имени хоста или ІР-адресу) или ввести О ВТ для различных типов прин- 

теров: 

а) Ріпа М№ебмогк Ргіпќег. Вместо ввода ОКІ принтера можно указать имя хоста 
или ІР-адрес системы, где установлен принтер, через который нужно вы- 
полнить печать. Все принтеры, найденные на этом хосте, появятся в окне; 

б) АрребоскеуНР ЈеїОігесї. Вариант для принтера ЈеСОігесі; 

в) Протокол интернет-печати (Тпегпеё Ргіпііпе Ргофосо|, ІРР). Используйте 
этот вариант для принтера СОР или другого ІРР-принтера. Большин- 
ство принтеров Ііпих и Мас ОЗ Х относятся к этой категории; 


г) Протокол интернет-печати (Тһќегпеѓ Ргіпііпе Ртоѓосо!, НТТРЅ). Применяйте 
этот вариант для СОР5 или другого ІРР-принтера, используемого по за- 
щищенному соединению (потребуются действительные сертификаты); 


д) Хост или принтер ІРО/ІРК (ГРО/ГРК Но ог Ргіпїег). Вариант для принтера 
ОМІХ; 


е) Міпаомѕ Ргіпіег ма ЅАМВА. Вариант для системного принтера Міро. 


Продолжайте выполнять действия в любом из подходящих разделов. 


Добавление удаленного принтера СОРЅ 


Если вы решили добавить принтер СОР (ІРР), доступный по локальной сети из 
окна РипЕ 5е паз (Настройки принтера), то в появившемся окно необходимо до- 
бавить следующую информацию. 


Глава 16. Настройка сервера печати 465 


© Ноѕї (Сервер). Это имя хоста компьютера, к которому подключен принтер (или 
к которому можно получить доступ другим способом). Это может быть ІР-адрес 
или имя хоста ТСРЛР для компьютера. Имя ТСР/ТР доступно в файле /еёс/ 
һоѕіѕ или через 0№-сервер имен. 


© Оџеџе (Очередь). Имя принтера на удаленном сервере печати СОР$. СОР5 
поддерживает варианты принтеров, что позволяет каждому из них иметь не- 
сколько наборов параметров. Если удаленный принтер СОР$ настроен таким 
образом, можете выбрать определенный путь к нему, например һр/зёёарі или 
ћр/1200арі. Символ косой черты (/) отделяет имя очереди печати от варианта 
принтера. 


Выполните остальные настройки так же, как и для локального принтера (см. под- 
пункт «Добавление локального принтера» ранее в этой главе). 


Добавление удаленного принтера УМХ (ІЮР/ЕРВ) 


Если вы решили добавить принтер ОМІХ (1РЮ/ТІРК) из окна Ргіпї бе таз (На- 
стройки принтера), то в появившемся окне необходимо указать следующую ин- 
формацию. 


® Ноѕї (Сервер). Это имя хоста компьютера, к которому подключен принтер (или 
к которому можно получить доступ другим способом). Это может быть ІР-адрес 
или имя хоста ТСРЛР для компьютера. Имя ТСР/ТР доступно в файле /еёс/ 
һоѕ+ѕ или через О№5-сервер имен. Нажмите кнопку РгоБе (Датчик), чтобы найти 
сервер. 

® Оцеие (Очередь). Имя принтера на удаленном компьютере ОМІХ. 


Выполните остальные настройки так же, как и для локального принтера (см. под- 
пункт «Добавление локального принтера» ранее в этой главе). 


СОВЕТ 


Если задание печати, отправленное для проверки принтера, отклонено, сервер печати, возможно, не разрешил 
вам доступ к принтеру. Попросите администратора удаленного компьютера добавить ваше имя хоста в файл /еїс/ 
Іра.регтѕ. (Введите Ірѕїаї-а ргіпїег, чтобы увидеть состояние задания печати.) 


Добавление принтера \М/іпаоухѕ (5МВ) 


Подключение компьютера для доступа к принтеру 5МВ (служба печати Ұіпаоуѕ) 
включает в себя добавление записи для принтера в окне Ѕеіесі Соппесіоп (Выбор 
подключения). 

При добавлении принтера Міпаоуѕ (через службу Ѕатђа) в окне РипЕ Ѕейіпдѕ 
(Настройки принтера) нажмите кнопку Вгомзе (Обзор), чтобы просмотреть 
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список компьютеров в вашей сети, которые относятся к службе 5МВ (файловые 
и/или печатные службы). В этом окне можно настроить принтер следующим 


образом. 

1. Введите О ВТ принтера без ѕпо://. Например, можно набрать /һоѕ&1/тургіпёег 
или /тувгоир/һоѕ+1/тургіп+ег. 

2. Выберите один из вариантов: Рготрі иѕег # аићепісайоп 15 гедиігеа (Запрашивать 
данные аутентификации пользователя) или бЅеї аиёћепіісайоп декайз пом (Ввести 
данные аутентификации сейчас). 

3. При выборе Ѕеї аићепіісайоп деѓаіѕ пом (Ввести данные аутентификации сейчас) 
введите данные о пароле и имени пользователя, затем нажмите кнопку \ейу 
(Проверить), чтобы проверить, сможете ли войти на сервер. 

4. Нажмите кнопку Ропмага. 


Кроме того, вы можете определить сервер, который не отображается в списке 


серверов. Введите информацию, необходимую для создания принтера ОВІ $ МВ. 


\Могкогоир (Рабочая группа). Имя рабочей группы Затра, в которую входит об- 
щий принтер. Использовать рабочую группу не обязательно. 


бегуег (Сервер). Имя М№еВТО$ или ТР-адрес компьютера, который может 
совпадать или не совпадать с его именем ТСР/ТР. Чтобы перевести это имя 
в адрес, необходимый для доступа к 5МВ-хосту, Ѕатђа проверяет опреде- 
ленные файлы, в которых это имя может быть назначено ТР-адресу. ЗатБа 
проверяет следующее (в указанном порядке), пока не найдет совпадение: 
локальный файл /ес/һоѕіѕ, локальный файл /еёс/1тһоѕёѕ, \/ ПМ5-сервер 
в сети — и отвечает на широковещательные трансляции на каждом локальном 
сетевом интерфейсе. 


Ѕһаге (Общий ресурс). Имя общего принтера, который используется совместно 
с удаленным компьютером. Оно может отличаться от имени, применяемого 
локальными пользователями. 


ег пате (Имя пользователя). Чтобы получить доступ к принтеру $МВ, серверу 
ЅМВ требуется имя пользователя. Оно не нужно, если вы аутентифицируете 
принтер на основе общего доступа, а не на уровне пользователя. С помощью 
уровня общего доступа можете добавить пароль для каждого общего принтера 
или файловой системы. 


Раѕѕуога (Пароль). Применяйте пароль, связанный с именем пользователя МВ 
или общим ресурсом, в зависимости от типа контроля доступа. 


ВНИМАНИЕ! 


Когда вы вводите имя пользователя и пароль для 5МВ, информация сохранится в незашифрованном виде в файле 
Геїс/сирѕ/ргіпїегѕ.сопї. Убедитесь, что файл доступен только суперпользователю. 
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Далее приведен пример О ВТ $МВ, который можно добавить в поле $МВ : //: 


јјопеѕ : ту9раѕѕ5ма@ғЅТКЕЕТ/М№51/һр 


ОКІ, показанный здесь, идентифицирует имя пользователя (јјопеѕ), пароль 
пользователя (ту9раѕѕѕма), рабочую группу (ЕЅТКЕЕТ), сервер (№51) и имя очереди 
принтера (пр). 

Выполните остальную часть настройки так же, как и для локального принтера 
(см. раздел «Добавление локального принтера» ранее в этой главе). 

Если все настроено правильно, вы можете использовать стандартную коман- 
ду 1р для печати файла на принтере. Задействуйте для печати следующую 
команду: 


$ сае +11е1.р$ | 1р -Р №1-Р5 


СОВЕТ 


Получив сообщение об ошибке, убедитесь, что компьютер, на котором выполняется печать, доступен. Например, 
для принтера №51 һр введите команду ѕтбсїіепї -Ё №1 -0 јјопеѕ, а затем пароль (в данном случае ту9раѕѕѕ\). 
Параметр -1 запрашивает информацию о сервере, параметр -/ јјопеѕ просит войти в систему от имени пользо- 
вателя јјопеѕ. Получив положительный ответ на запрос имени после ввода пароля, вы должны увидеть список 
общих принтеров и файлов с этого сервера. Проверьте имена и повторите печать. 


Печать с помощью СУР$ 


Такие инструменты, как веб-администрирование СОРЗ и окно Рип Ѕейіпоѕ (На- 
стройки принтера), эффективно скрывают все возможности службы СОР$. Одна- 
ко может потребоваться обратиться непосредственно к инструментам и файлам 
конфигурации службы. В следующих разделах описано, как использовать специ- 
альные функции СОР$. 


Настройка сервера СОРЅ (сирѕа.соп?) 


Демон сирз4 прослушивает запросы к вашему серверу печати СОР$ и отвечает 
на них, основываясь на настройках, сохраненных в файле /еёс/сирѕ/сирѕӣ. соп. 
Переменные конфигурации в файле сирѕӣ. соп+ имеют ту же форму, что и в файле 
конфигурации Арасћһе (НЕра. сопҒог арасһе2.сопғ). Введите команду тап сирѕӣ. соп, 
чтобы просмотреть подробную информацию о любых настройках. 

Окно Ргіпё Ѕеќіпдѕ (Настройки принтера) добавляет информацию о доступе 
к файлу сирѕӣ.соп#. Для других систем Глпах или при отсутствии рабочего стола на 
сервере вам может потребоваться настроить файл сирѕӣ. соп# вручную. Перейдите 
к файлу сирѕӣ. соп, чтобы настроить свой сервер СОР$. Большинство настроек 
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необязательны или могут быть оставлены применяемые по умолчанию. Рассмотрим 
настройки, которые можно использовать в файле сирѕӣ. соп. 

По умолчанию классификация не задается. С классификацией, ёорѕесгеї, вы 
можете отображать надпись Тор 5есге* на всех страницах, проходящих через сервер 
печати: 


С1аѕ5іҒіса+іоп +орѕесге+ 


Варианты классификации, кроме форзесге*: с1а$$1+1е4, сопҒіаепёіа1, ѕесгеї 
и ипс1аѕ51+іеа. 

Термин рғооѕіпв относится к процессам передачи информации о вашем прин- 
тере в локальной сети и прослушивания информации других серверов печати. 
Параметр сирз-Бгомзеа используется для просмотра общих удаленных принтеров. 
Просмотр включен по умолчанию для всех локальных сетей (@0САІ). Вы можете 
разрешить передавать информацию браузера СОР (ВгонѕеА110ои) на другие адреса. 
Информация о просмотре по умолчанию передается по адресу 255.255.255.255. Вот 
примеры нескольких настроек просмотра: 


Вгом$1п8 Оп 

ВгомѕеРгоёосо15 сирѕ 
ВгомѕеОгаег репу ,А110ом 
Вгомѕед110ом Ғгот @ЕОСАЕ 
ВгомѕеАайғеѕ5 255. 255, 255,255 
Іїіѕёеп *:631 


Чтобы включить веб-администрирование СОР$ и использовать принтеры 
совместно с другими пользователями сети, демон сирз4 настраивается на прослу- 
шивание через порт 631 всех сетевых интерфейсов вашего компьютера на основе 
строки Е15%еп *:631. По умолчанию демон прослушивает локальные интерфейсы 
только в системах Глпих (115%еп 1оса1Но$*:631). В системе Еейога служба СОРЅ 
по умолчанию прослушивает все интерфейсы. 

Это хороший способ дать пользователям нескольких подключенных локальных 
сетей возможность находить и применять принтеры в соседних локальных сетях. 

Вы можете разрешить или запретить доступ к различным функциям сервера 
СОР$. Настройка доступа для принтера СОРЅ в окне Рип 5епд$ (Настройки 
принтера) может выглядеть следующим образом: 


<Іоса+іоп /рг1пег$/п$1-Ир1> 
Огаег ОБепу,А11ом 

Бепу Егом А11 

А11ом Его 127.0.0.1 
АиЁһТуре М№пе 

</іоса+іоп»> 


В примере печать на принтере п51-һр1 разрешена только пользователям ло- 
кального хоста (127.0.0.1). Пароль не требуется (АцеНТуре № пе). Чтобы разрешить 
доступ к инструменту администрирования, служба СОРЅ должна запрашивать 
пароль (Аи&ҺТуре Ва$1с). 
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Запуск сервера СОРЅ 


Для систем Ііпих, применяющих скрипт запуска в стиле Ѕуѕќет У (например, бо- 
лее ранние версии дистрибутивов Еейога и ВНЕГ.), запуск и выключение службы 
печати СИР$ довольно просты. Используйте команду сһксоп#іе, чтобы служба 
запускалась при каждой перезагрузке. Введите скрипт сирѕ, чтобы служба СОР$ 
запустилась автоматически. В дистрибутиве КНЕТ 6. х или более ранней версии 
введите от имени суперпользователя следующее: 


# сиКсоп+15 сирѕ оп 
# зегу1се сирѕ $ФагЕ 


Если служба СОРЅ уже запущена, возьмите параметр гез+аг* вместо ѕёагї. 
Параметр геѕёагі — это хороший способ прочитать все параметры конфигурации, 
измененные в файле сирза . соп+ (хотя, если служба СОР$ уже запущена, команда 
зег\1се сирѕ ге1оаа перечитывает файлы конфигурации без перезапуска). 

В дистрибутивах Еейога 30 и ВНЕТ. 8 для запуска и остановки служб вместо 
зегу1се используется команда зуз%етс*1: 


# ѕуѕЕетс+1 зфафи$ сирѕ.ѕегуісе 


* сирѕ.ѕегмісе — СОРЅ Рг1и1птв Ѕегуісе 
Іоайеа: 1Іоааеа (/иѕг/116/ѕуѕ+ета/ѕуѕет/сирѕ.ѕегуісе; епаб1еа) 
Асііүуе: ас+іме (гипп1пё) ѕіпсе Ѕаї 2016-07-23 22:41:05 Ерт; 18һ аро 
Маіп РТО: 20483 (сирѕа) 
Ѕ+аёиѕ: "Ѕсһейи1ег 15 гиппіпр..." 
Сбгоир: /ѕуѕ+ет. ѕ51ісе/сирѕ.ѕегуісе 
[— 20483 /иѕг/ѕріп/сирѕа -+ 


В примере видно, что служба СИР$ запущена, так как статус показывает, что 
демон сирѕа активен с идентификатором РТО 20483. Запустить службу СОРЅ 
можно следующим образом (если она не запущена); 


# ѕуѕіетс+1 ѕ+агі сирѕ.ѕегуісе 


Дополнительную информацию о командах ѕуѕёетс+1 и зегу1се для работы со 
службами см. в главе 15 «Запуск и остановка служб». 


Настройка принтера СОРЅ вручную 


Если в вашем дистрибутиве Глпих нет графических средств настройки СОР5, 
можете редактировать файлы конфигурации напрямую. Так, добавленный в окне 
Ргіпї бе тд5 (Настройки принтера) принтер определяется в файле /еїс/сирѕ/ 
рг1пег$ . соп+. Вот как выглядит запись о принтере: 


<Бефач1ЕРг1пфег ргіпёег> 

Іпғо НР Газег3Зее 2190м 

[оса 1оп НР ГаѕегЈе 2100М іп һа11 с10оѕе+ 
Рреуісе0кІ рага11е1: /4еу/1ро 
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Зфафе Та1е 
Ассерїіпе Үеѕ 
Ѕһагеа № 

Јорѕһееѕ попе попе 
ОцофаРег1оа ө 
Рареіімії 9 

Кімі ө 

</Ргіпъег> 


Это пример локального принтера, который является принтером по умолчанию 
для локальной системы. В поле $пагед № значений нет, так как он доступен только 
в локальной системе. Наиболее интересная информация находится в поле Бем1сецвт, 
которое отображает, что принтер подключен к параллельному порту /4е\м/1ре. Состоя- 
ние неактивно — Іа1е (готов принимать задания), а в поле Ассерёіпе установлено 
значение Үеѕ (принтер принимает задания печати по умолчанию). 

Поле Бе\у1сеувт может определить имя устройства несколькими способами, 
отображая местоположение принтера. Вот несколько примеров, перечисленных 
в файле ргіпёемѕ. соп: 


Рреуісе0кІ рага11е1: /аеу/р1р 

РреуісеукКІ ѕегіа1: /аем/++уа1?раиӣ=38400+5і72е=8+рагі+у=попе+Ғ10оим=ѕо#+ 
Ре\м1сецкТ 5с51: /аеу/5с51/5с14610 

РреуісеукКІ иѕЬ:// имя устройства: порт 

Рреуісе0кКІ ѕосКеї:// имя устройства: порт 

Бем1сеукт ЄҒЁЕр:// имя устройства/путь 

Бем1сеукт Ғр:// имя устройства/путь 

Рреуісе0кКІ НЕ р:// имя устройства [:порт]/путь 

Рреуісе0кІ 1рр:// имя устройства/путь 

Рреуісе0кКІ ѕт6:// имя устройства/принтер 


Первые четыре примера показывают варианты для локальных принтеров 
(рага11е1, ѕегіа1, ѕ5сѕі и иѕр). Другие примеры относятся к удаленным хостам. 
Во всех случаях имя хоста может быть именем хоста или [Р-адресом. Номера пор- 
тов или пути определяют место расположения каждого принтера на хосте. Напри- 
мер, параметр һоѕ&пате может быть туһоѕі. ехатр1е. сот: 63, а параметр ра+ћ может 
быть заменен на любое имя, например ргіпёегѕ /тургіпёег. 


Команды печати 


Чтобы сохранить обратную совместимость с устаревшими средствами печати 
ОМІХ и Ипих, служба СОРЅ поддерживает многие команды для работы с печатью. 
Большую часть функций службы СОР$ из командной строки можно выполнить 
с помощью команды 1р. Приложения обработки текстов, такие как 1ЬгеОсе, 
ОрепО се и АЫога, настроены на применение этой команды для печати. 
Используйте окно Ргіпё 5етд$ (Настройки принтера), чтобы определить не- 
обходимые для каждого принтера фильтры, благодаря которым текст можно 
правильно отформатировать. Параметры команды 1р могут добавлять фильтры 
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для правильной обработки текста. Другие команды для управления печатными 
документами — это 1ра (для просмотра содержимого очередей печати), 1ргт 
(для удаления заданий печати из очереди) и 1рѕёаї -+ (для управления прин- 
терами). 


Печать с помощью команды Ір 


Используйте команду 1р для печати документов как на локальных, таки на удален- 
ных принтерах (при условии, что принтеры настроены локально). Файлы докумен- 
тов могут быть либо добавлены в конец командной строки 1р, либо направлены 
в команду 1р с помощью канала (|). Пример простой команды 1р: 


$ 1р 90с1.р$ 


Если указан только файл документа с командой 1р, вывод будет направлен на 
принтер по умолчанию. Как обычный пользователь, вы можете изменить принтер 
по умолчанию, установив новое значение для переменной РВТМТЕВ. Обычно пере- 
менная РАІМТЕК добавляется в один из загрузочных файлов, например $НОМЕ/ .Баѕћгс. 
Если добавить приведенную далее строку в файл .Базпгс, то принтеру по умолча- 
нию будет установлена команда 1р3: 


ехрогі РКІМТЕК=1рз 


Чтобы переопределить принтер по умолчанию, укажите конкретный принтер 
в командной строке 1р. В следующем примере используется параметр -Р для вы- 
бора другого принтера: 


$ 1р -Р сапуопрѕ ӣос1.рѕ 


Команда 1р имеет множество параметров, которые позволяют ей интерпрети- 
ровать и форматировать несколько различных типов документов. К ним относятся 
параметр -# пит, где пит заменяется количеством копий для печати (от 1 до 100), 
и параметр -1, который отправляет документ необработанным, предполагая, что тот 
уже отформатирован. Чтобы узнать, какие еще параметры подходят для команды 
Ір, введите команду тап 1р. 


Вывод состояний с помощью команды 1рѕіаї - 


Используйте команду 1рѕїаї - для отображения состояния ваших принтеров, 
например: 

$ /иѕг/56Ьіп/1рѕ+аї -+ 

ргіпёег һр Яіѕаб1еа ѕіпсе Меа 10 Ји1 2019 10:53:34 АМ Ерт 


ргіпёег ае$К]еф-555 1$ 141е. епаБ1еа ѕіпсе меа 10 Ји1 2019 
10:53:34 АМ Ерт 


В выводе примера показаны два активных принтера. Принтер һр сейчас отклю- 
чен (неактивен). Принтер аеѕкје-555 включен. 
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Удаление задач печати с помощью команды Іргт 


Пользователи могут удалять свои задания печати из очереди с помощью команды 
1ргт. Применяемая только в командной строке, команда 1ргт удаляет все задания 
печати пользователя с принтера по умолчанию. Чтобы удалить задания с опреде- 
ленного принтера, применяйте параметр -Р следующим образом: 


$ Іргт -Р 1р@ 
Чтобы удалить все задания печати текущего пользователя, введите следующее: 
$ 1ргт - 


Суперпользователь может удалить все задания печати конкретного пользова- 
теля, указав его в командной строке Іргт. Например, чтобы удалить все задания 
печати пользователя піке, суперпользователь вводит следующие данные: 


# 1рги - О тіке 


Чтобы удалить определенное задание печати из очереди, укажите его номер 
в командной строке 1ргт. Чтобы найти номер задания, введите команду 1рд. Вот как 
может выглядеть вывод этой команды: 


# 1ра 

ргіпёег 1$ геа4у апа ргіп+іпе 

Капк Омпег Зоб Е11е$ Тофа1 $17е Тіте 
асііме гоо 133 /һоте/јаке/рг1 467 

2 гоо 197 /һоте/јаке/тудос 23948 


Здесь видны два задания на печать, ожидающих в очереди. (Принтер готов 
и печатает задание, указанное в списке активных.) В столбце 206 есть номер зада- 
ния, связанный с каждым документом. Чтобы удалить первое задание на печать, 
введите следующее: 


# 1ргт 133 


Настройка сервера печати 


Итак, вы настроили принтер таким образом, чтобы и сами, и другие пользовате- 
ли вашего компьютера могли печатать на нем. А теперь хотите поделиться этим 
принтером с другими пользователями в доме, школе или офисе. Время переходить 
к настройке принтера в качестве сервера печати. 

Принтеры, настроенные в системе Глпих, могут совместно использоваться дру- 
гими компьютерами, относящимися к одной сети. Ваш компьютер может выступать 
не только в качестве сервера печати Глпах (настройка службы СОР5), но и как 
сервер печати 5МВ (\/Лп4о\) для клиентских компьютеров. После подсоединения 
локального принтера к системе Глпих и подключения компьютера к локальной сети 
можно настроить систему для совместного использования принтера с клиентскими 
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компьютерами с помощью интерфейса Глпих (ОМІХ) или 5МВ. Как это сделать, 
будет описано далее в этой главе. 


Настройка общего принтера СОРЅ 


Сделать локальный принтер доступным для других компьютеров в общей сети 
довольно просто. Если между компьютерами, совместно использующими прин- 
тер, существует сетевое соединение ТСР/ТР, нужно просто предоставить права 
всем хостам, отдельным хостам или пользователям с удаленных хостов на доступ 
к службе печати вашего компьютера. 

Чтобы настроить принтер на прием заданий печати с других компьютеров вруч- 
ную в файле /еёс/сирѕ/ргіпёегѕ . соп, убедитесь, что в нем есть строка $Вагеа Үеѕ. 
В следующем примере из записи ргіпёегѕ.соп#, приведенной ранее в этой главе, 
создана новая: 


<"РеғҒаи1+Ргіпёег рг1пег> 
Ти+о НР Тазег3Зее 2100М 
[осаЕ1оп НР ГаѕегЈеЁ 2100М іп һа11 с1оѕе+ 
РреуісеукІ рага11е1: /аеу/1рө 
Ѕ+а+е Та1е 

Ассер+іпе Үеѕ 

Ѕһағеа Үеѕ 

Јорѕһееѕ попе попе 
Оио+аРегіоа ё 

Рареіітії 0 

Кімі ө 

</Ргіпъег» 


В системах Ііпих, использующих окно Ргіпё Ѕеіпоѕ (Настройки принтера), опи- 
санное ранее в этой главе, эффективнее всего настроить принтер в качестве общего 
с его помощью. 

Вот как это сделать в дистрибутиве Еейога 30. 


1. На экране Асімійеѕ (Приложения) на рабочем столе СМОМЕ З в Еедога в поле 
поиска введите Рг1пЕ 5е{1пв$ и нажмите клавишу Епїег. Появится окно Рип 
бе пд (Настройки принтера). 

2. Чтобы разрешить общий доступ ко всем принтерам, выберите Ѕегег > Ѕейіпдѕ 
(Сервер » Параметры). Если вы находитесь в системе как обычный пользова- 
тель, понадобится ввести пароль суперпользователя. Появится окно Ваяс Ѕегуег 
Ѕейіпдѕ (Основные настройки сервера). 


3. Установите флажок Ѕһаге РиЫіѕһеа ргіпегѕ соппесѓеа їо {115 зу%ет (Показывать 
общие принтеры, подключенные к этой системе) и нажмите кнопку ОК. После 
этого может появиться диалоговое окно с предложением изменить настройки 
межсетевого экрана. 


4. Чтобы разрешить или ограничить печать для конкретного принтера, дважды 
щелкните на имени принтера, к которому хотите предоставить общий доступ. 
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(Если принтер еще не настроен, обратитесь к разделу «Настройка принтеров» 
ранее в этой главе.) 


5. Перейдите на вкладку Роїісіеѕ (Политики) и установите флажок Ѕһагеа (Общий 
доступ). 

6. Если вы хотите ограничить доступ к принтеру конкретным пользователям, 
перейдите на вкладку Ассеѕѕ Сопіго! (Управление доступом) и выберите один из 
следующих параметров: 


= АНом/ Ргіпііпо Гог Еуегуопе ЕхсерЕ Тһеѕе Џѕегѕ (Разрешить печатать всем, кроме 
указанных пользователей). Если выбран этот параметр, доступ к принте- 
ру разрешен всем пользователям. Введя имена пользователей в поле Џѕегѕ 
(Пользователи) и нажав кнопку Ааа (Добавить), вы запретите им доступ 
к принтеру; 


= Оепу Рипипд Гог Емегуопе Ехсерї Тһеѕе Оѕегѕ (Запретить печатать всем, кроме этих 
пользователей). Если выбран этот параметр, всем пользователям запрещен 
доступ к принтеру. Введя имена пользователей в поле Џѕегѕ (Пользователи) 
и нажав кнопку Аа (Добавить), вы разрешите им доступ к принтеру. 


Теперь можете настроить другие компьютеры для доступа к своему принтеру, 
как описано в разделе «Настройка принтеров» в этой главе. Если попытка выпол- 
нить печать с другого компьютера окажется неудачной, воспользуйтесь следующи- 
ми советами по устранению неполадок. 


ө Откройте брандмауэр. Ограничительный межсетевой экран может не разре- 
шить печать. Необходимо включить доступ к ТСР-порту 631, чтобы разрешить 
доступ к печати на вашем компьютере. 


е Проверьте имена и адреса устройств. Убедитесь, что вы правильно ввели имя 
своего компьютера и очередь на печать при настройке его на другом компьютере. 
Попробуйте использовать ІР-адрес вместо имени хоста. (Если это сработает, 
значит, проблема была в О№5-именах.) Запустите инструмент Е сраитр, который 
позволяет увидеть, где именно происходит сбой. 


ө Проверьте, какие адреса прослушивает сир$4. Демон сирза должен прослуши- 
вать данные за пределами локального хоста, чтобы удаленные системы могли 
печатать через него. Примените команду пе ${а{ (от имени суперпользователя), 
как показано далее, чтобы проверить это. Первый пример показывает, что демон 
сирѕа прослушивает данные только на локальном хосте (27.0.0.1:631), второй 
отображает прослушивание на всех сетевых интерфейсах (0 0.0.0.0:631): 


# пефзфаф -+ир1п | егер 631 


їср [2] Ө 127.0.0.1:631 0.0.0.0:* ІЅТЕМ 
6492/сир$а 

# пефзфаф -+ир1п | егер 631 

їср [2] 0 0.0.0.0:631 0.0.0.0:* ІЅТЕМ 
6492/сирѕӣа 


Изменения доступа к общему принтеру вносятся в файлы сир$4. соп+ и ргіп- 
{ег$ . соп# в каталоге /ефс/счр®. 
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Настройка общего принтера Ѕатба 


Принтеры Шіпих можно настроить как общие $МВ-принтеры, которые будут до- 
ступны из систем \/ш4о\з. Чтобы предоставить общий доступ к принтеру ЅатђБа 
(5МВ), просто настройте основные параметры сервера, как описано в главе 19 
«Настройка ЅатђБа-сервера». По умолчанию все ваши принтеры будут совместно 
использоваться в локальной сети. В следующем разделе показано, как выглядят 
настройки и как их можно изменить. 


Настройка файла печати ѕтб.сопї 


При настройке сервера ЗатБа создается файл /еєс/ѕатра/ѕть. соп+, позволяющий 
совместно использовать все настроенные принтеры. Вот пример нескольких строк 
из файла ть. соп, относящихся к общему доступу к принтерам: 


[21оБа1] 


1Іоаа рг1пфег$ = уеѕ 

сирѕ ор1оп$ = гам 

ргіпёсар пате = /ефс/рг1пЕсар 
ргіпёіпе = сирѕ 


[ргіп+егѕ ] 
соттепЕ = А11 Ргіпёегѕ 
раһ = /маг/ѕроо1/ѕатра 
ргомѕеаб1е = уеѕ 
мгіёеаб1е = по 
ргіпёаБ1е = уеѕ 


Прочитайте комментарии в строках, чтобы больше узнать о содержимом файла. 
Строки, начинающиеся с точки с запятой (;), указывают на значение параметра 
по умолчанию в строке комментария. Удалите точку с запятой, чтобы изменить 
настройку. 

Строки из примера показывают, что принтеры из файла /еёс/ргіпёсар загруже- 
ны и используется служба СОР$. Если для параметра сир ѕорёіопѕ задано значение 
гам, ЅатБа предполагает, что файлы печати будут отформатированы к тому вре- 
мени, как достигнут сервера печати. Это позволяет клиентам Глпах или Міріожѕ 
применять собственные драйверы печати. 

Последние несколько строк — это фактическое определение принтеров. Изменив 
параметр бгомѕеар1е с по на уеѕ, вы даете пользователям возможность печатать на 
всех принтерах (рг1пеаБ1е = уеѕ). Можете также хранить собственные драйверы пе- 
чати ҰУіпдоҳѕ на своем сервере ЗатБа. Когда клиент \Лп4о\ задействует ваш прин- 
тер, нужный драйвер подключается автоматически — нет необходимости загружать 
драйвер с сайта поставщика. Чтобы включить общий ресурс драйвера принтера, до- 
бавьте общий ресурс Ѕатђа с именем ргіпї$, который выглядит следующим образом: 
[ргіп+$ ] 
соттепе = Рг1ифег Ог1уег$ 
раһ = /маг/116/ѕатра/агімегѕ 
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ргомѕеаб1е = уеѕ 

виеѕї ок = по 

геаа оп1у = уеѕ 

мгі+е 1151 = сһгіѕ, ааиҒ+Ғеу 


После того как общий ресурс станет доступным, можно начать копирование 
драйверов печати Міпіоуѕ в каталог /маг/116/ѕатра/агімегѕ. 


Настройка 5МВ-клиентов 


Настраивая принтер Ѕатђа на своем компьютере Ііпих, вы, вероятно, захотите 
поделиться им с клиентами системы \/т4о\з. Если служба ЗатБа правильно на- 
строена на вашем компьютере и клиентские компьютеры могут связаться с ней по 
сети, у пользователей не должно возникнуть проблем с поиском и применением 
вашего принтера. 

В системах \Уіпіохѕ 10 из меню Пуск (Ѕќагі) перейдите в настройки Принтеры 
и сканеры (Ртіпѓегѕ апа Ѕсаппегѕ) и выберите принтер из списка, чтобы настроить его. 

В системе ҰірӢоуѕ Уіѕќа щелкните на ярлыке Сеть (Меб\уотК). Имя вашего 
хост-компьютера (имя Ме ВТО$5, которое, вероятно, является также именем ТСР/ 
ТР) появится на экране или в папке рабочей группы на нем. Щелкните на значке, 
представляющем ваш компьютер. В открывшемся окне отобразятся общие прин- 
теры и папки. 


СОВЕТ 


Если значок вашего компьютера не отображается в разделе Сетевое окружение (Ме{миогк М№еідһрогћоой или 
Му МецмогК РІасеѕ), попробуйте воспользоваться поиском. В системе \\Ипао\м ХР выберите Пуск (агї) > Найти про- 
граммы и файлы (Ѕеагсһ) > Компьютеры или пользователи (Сотриќег ог РеорІе) » Компьютер в сети (А Сотриїег 
оп {ће Меѓугогк). Введите имя своего компьютера в поле Имя компьютера (Сотриќег Мате) и нажмите кнопку По- 
иск (Ѕеагф). Дважды щелкните на значке компьютера в результатах поиска. Появится окно с общими принтерами 
и папками, имеющимися на вашем компьютере. 


После того как общий принтер появится в окне, настройте указатель на него, 
дважды щелкнув на значке принтера. Появится сообщение о том, что перед исполь- 
зованием принтера его необходимо настроить. Нажмите кнопку Да (Үеѕ), чтобы 
продолжить настройку принтера для локального применения. Появится мастер Ааа 
Ргіпќег Мітага. Ответьте на вопросы о том, как вы планируете использовать принтер, 
и добавьте соответствующие драйверы. По окончании настройки принтер появится 
в окне принтеров. 

Еще один способ настроить ЗМВ-принтер из операционной системы \Уіпаоҳуѕ 
ХР — это перейти в меню Зак (Пуск) и найти раздел Ріпќегѕ апа Рахеѕ (Принтеры 
и факсы). В появившемся окне щелкните на значке Ада а Ргіпіег (Добавить принтер) 
в левой верхней части окна и выберите вариант М№еёђмогк Ргіпќег (Сетевой принтер) 
в первом окне. Там вы можете просмотреть и/или настроить свой 5МВ-принтер. 
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Резюме 


Печать по сети имеет важное значение в современных бизнес-сетях. Используя 
несколько подключенных к сети устройств, вы можете сосредоточиться на не- 
скольких высококачественных принтерах, с которыми могут работать несколько 
человек, а не на многочисленных более дешевых устройствах. Кроме того, принтер, 
с которым работают несколько пользователей, облегчает собственное обслужива- 
ние, в то же время позволяя всем выполнять свои задачи в сфере печати. 

Сегодня почти в каждом крупном дистрибутиве Глпих служба печати по умолча- 
нию — это общая система печати ОМІХ (СОРЅ). Любая система Глпиах, использу- 
ющая службу СОР, имеет веб-интерфейс администрирования СОР5 для настрой- 
ки печати СОР, а также файлы конфигурации в каталоге /еёс/сирѕ для настройки 
принтеров и службы СОР$ (демон сирѕа). 

В БНЕГ, Еейога, ОБипќи и других системах Глпах можно настроить принтер 
с помощью окон конфигурации печати, доступных как на настольных компьютерах 
КРЕ, так и на настольных компьютерах СМОМЕ. Разнообразие драйверов позво- 
ляет печатать на различных типах принтеров, а также на принтерах, подключенных 
к компьютерам в сети. 

Вы можете настроить свой компьютер как сервер печати пих, а также эмули- 
ровать сервер печати ЗМВ (\//ш4о\\з). Когда сеть настроена правильно и локаль- 
ный принтер установлен, можно совместно использовать его по сети в качестве 
сервера печати МХ или $МВ. 


Упражнения 


Выполните эти упражнения, чтобы проверить свои знания о настройке принтеров 
в пих. Задачи подходят для систем Еедога или Кеа Наб Ещегризе Глпих (некото- 
рые сработают и в других системах Глпих). Если затрудняетесь с решением заданий, 
воспользуйтесь ответами к упражнениям, приведенными в приложении Б (хотя 
Тіпих позволяет решать задачи разными способами). 


1. Используя окно Ргіпё 5епдз (Настройки принтера) из пакета зу$4ет-соп1в- 
рг1пеег, добавьте новый принтер с именем мург1пег к вашей системе. (Новый 
принтер не обязательно подключать, чтобы настроить для него очередь печати.) 
Подключите принтер РоѕЅсгірі к локальному последовательному порту, ІРТ 
или другому. 

2. С помощью команды 1рѕёаї -+ просмотрите состояние всех ваших прин- 
теров. 

3. С помощью команды 1р распечатайте файл /еёс/һћоѕёѕ на новом принтере. 

4. Проверьте очередь печати для этого принтера, чтобы отобразить задание печати. 


5. Удалите задание печати из очереди (отмените его). 
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6. 


10. 


В окне Ргіпіпо (Печать) задайте параметры базового сервера, который отобра- 
жает ваши принтеры, чтобы другие системы в вашей локальной сети могли 
печатать на них. 


Разрешите удаленное администрирование своей системы с помощью браузера. 


Выполните удаленное администрирование своей системы из другой, открыв 
браузер на порте 631, где находится ваш сервер печати. 


Используйте команду пеїѕ+а+, чтобы узнать, по каким адресам демон сирѕа 
прослушивает данные (порт печати 631). 


Удалите принтер тург1пеег из своей системы. 


Настройка 
веб-сервера 


В этой главе 


и Установка веб-сервера Араспе. 
ш Настройка веб-сервера Арасһе. 


и Защита веб-сервера Арасһе с помощью ірёаБіеѕ 
и 5ЕИпих. 


и Создание виртуальных хостов. 
ш Создание защищенного (НТТР5) сайта. 


ш Проверка веб-сервера Араспе на наличие 
ошибок. 


Веб-серверы отвечают за обслуживание содержимого, которое вы просматрива- 
ете в Интернете каждый день. Однозначно, самый популярный веб-сервер — это 
АрасВе (файл һєра), веб-сервер, который спонсируется фондом Арасһе ЗоЁ\аге 
Еоип4а@оп (арасһе.огд). Поскольку АрасВе является проектом с открытым исход- 
ным кодом, он доступен во всех основных дистрибутивах Глпих, включая ЕеЯога, 
ВНЕГ и ОБипёи. 

При этом вы можете использовать свой веб-сервер АрасВе для решения мно- 
жества задач. Например, для обслуживания содержимого нескольких доменов 
(виртуальный хостинг), обеспечения зашифрованной связи (НТТР5) и защиты 
некоторых или всех сайтов с помощью различных видов аутентификации. 

В этой главе описывается процесс установки и настройки веб-сервера Арасће. 
Он включает в себя действия для защиты сервера, а также использование раз- 
личных модулей, чтобы можно было подключить разные методы аутентификации 
и скриптовые языки к своему веб-серверу. Затем я опищу, как генерировать сер- 
тификаты для создания сайта НТТР Ѕесиге ЅосКкеіѕ Гауег ($51). 
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Веб-сервер Арасћһе 


Сервер Арасйе НТТРО, известный также как Арасйе НТТРО $етоет, предоставляет 
службу, с которой взаимодействуют клиентские браузеры. Демон (Вера) работа- 
ет в фоновом режиме на основном сервере и ожидает запросов от веб-клиентов. 
Браузеры предоставляют эти соединения демону НТТР и отправляют запросы, 
которые он интерпретирует, отсылая обратно соответствующие данные, например 
веб-страницу или что-то другое. 

Сервер Арасһе НТТРР включает в себя интерфейс, который позволяет мо- 
дулям подключаться к процессу для обработки определенных частей запроса. 
Помимо них в сервере доступны модули для обработки скриптовых языков, таких 
как Рег| или РНР, в веб-документах, которые позволяют добавить шифрование 
к соединениям между клиентами и сервером. 

Веб-сервер АрасВе изначально являлся набором патчей и улучшений для 
демона НТТР, созданного Национальным центром суперкомпьютерных прило- 
жений (Майопа| Сещег Юг Зирегсотрийптя Арріісабйопѕ, МСЅА) Иллинойсского 
университета в Урбана-Пампейне. НТТР-демон МСЅА был самым популярным 
НТТР-сервером в то время, но после того, как его автор Роберт Маккул в середине 
1994 года покинул МСЗА, начал сдавать свои позиции. 


ПРИМЕЧАНИЕ 


Моѕаіс— еще один проект №СЅА. Большинство современных браузеров происходят от Моѕаіс. 


В начале 1995 года группа разработчиков сформировала Арасће Стоир и начала 
вносить значительные изменения в кодовую базу НТТРО МСЗА. Арасће вскоре 
сменил МСЅА НТТРО на позиции самого популярного веб-сервера и сохраняет 
ее по сей день. 

Позже АрасВе Стоир сформировала фонд АрасВе ЗоЁ\аге Еоип4айоп (АЗЕ) 
для содействия разработке Арасће и других программ с открытым кодом. С нача- 
лом работы над новыми проектами в АЅЕ сервер Арасћһе стал известен как Арасһе 
НТТРЮ, и эти два названия взаимозаменяемы до сих пор. В настоящее время фонд 
АЅЕ поддерживает более 350 инициатив с открытым исходным кодом, в том числе 
Тотсаѓ (включает в себя технологии Јауа Зегу|еб и ЈауаЅегуег Равеѕ с открытым ис- 
ходным кодом), Найоор (проект, обеспечивающий высокодоступные вычисления) 
и ЅратАѕѕаѕѕіп (программа фильтрации электронной почты). 


Установка веб-сервера 


Хотя сервер Арасћһе доступен в каждом крупном дистрибутиве Глпих, часто он 
упакован по-разному. В большинстве случаев для запуска простого веб-сервера 
АрасВе нужен лишь пакет, содержащий сам демон Арасће (/иѕг/ѕріп/һеера) и свя- 
занные с ним файлы. В Еедога, ВНЕТ. и других дистрибутивах веб-сервер Арасһе 
поставляется в пакете Пра. 
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Пакет ПЕра 


Чтобы изучить пакет Пера в системах Еедога или ВНЕГ. перед установкой, за- 
грузите его с помощью команды уцидомп1оааег и выполните несколько команд гри 
для просмотра содержимого пакета: 


# уитаомп1оадег Ира 
# грт -арі ВЕЕра-*грт 


Мате : Һера 
Мегѕіоп : 2.4.41 
Ке1еаѕе : 1.#с30 


АгсһіФесіиге: х86 64 
Іпѕ+а11 рае: (по іпѕ+а11еа) 


бгоир : Опѕресі+іеа 

Ѕіхе : 5070831 

Е1сепзе : АЗЁ 2.0 

Ѕірпа+иге : КЅА/5НА256, Моп 19 Аир 2019 06:06:09 АМ ЕРТ, Кеу 1р 
е#3с111#с#с65969 


Ѕоигсе АРМ : һ&ра-2.4.41-1.#с30.5гс.грт 

Виі1а рае : Тһи 15 АиФ 2019 06:07:29 РМ ЕРТ 
Виі1а Но$Е : биі1аут-30.рһх2. Ғейогаргојесі.оге 
Ке1осафіопѕ : (пої ге1оса+аб1е) 


РасКавег : Редога Ргојес+ 

МепЯӣог : Редога Ргојес+ 

ЦВЕ : Һер: //ПЕЕра. араспе .ог8/ 

Вие ОКЕ : ИЕЕр$: //бирг. Еедогарго]ес* .ог=/ Пера 
5иттагу : Арасһе НТТР $егуег 

Рреѕсгір+іоп : 


Тһе Арасһе НТТР Ѕегуег 15 а ромегҒи1, еҒҒісіепі, апа ехеп$161е 
меб ѕегуег. 


Команда уитіомп1оадег загружает последнюю версию пакета һёёра в текущий 
каталог. Команда грт -ар1 запрашивает информацию из только что загруженного 
пакета һ++ра КРМ. В примере видно, что пакет был создан проектом Ее4ота и это 
действительно пакет НТТР-сервера АрасВе. Затем загляните внутрь пакета, чтобы 
увидеть следующие файлы конфигурации: 

# грт -арс Ира-*грт 
/еёс/һеера/соп+.а/аибоіпех. соп# 
/ефс/ПЕЕра/соп+.А/изега1г . соп+ 
/еёс/һётра/соп+.а/ме1соте. соп+ 


/ефс/ИЕЕра/ соп+.тоди1е$.4/09-Базе. соп+ 
/ефс/ПЕЕра/соп+.тоди1е$.4/09-4а\. соп+ 


/ефс/ПЕЕра/ соп+/ Пера. соп# 
/ефс/ПЕЕра/соп+/та1с 
/еёс/1оргоёа+е.а/һі+ра 
/еёс/ѕуѕсопҒір/һЕсасһес1еап 


Основной файл конфигурации АрасБе — это /еёс/һёёра/соп/һ&ра. соп+. Файл 
ме1 соте . соп# определяет домашнюю страницу по умолчанию, пока не будет до- 
бавлено другое содержимое. Файл Маріс создает правила, которые сервер может 
использовать для определения типа файла при попытке его открыть. 
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Файл еёс/1овго+ате.а/һеера определяет, как изменены файлы журнала Арасће. 
Файл /изг/ 116/&тр+і1еѕ .4/ИЕЕра. соп+ определяет каталог, содержащий временные 
файлы (этот файл изменять не нужно). 

Некоторые модули Арасћһе переносят файлы конфигурации (*.соп+) в каталог 
/ес/НЕЕра/соп+ .тоди1е$.а/. Любой файл в этом каталоге, заканчивающийся на 
. соп, помещается в основной файл һ++ра. соп+ и используется для настройки 
АрасВе. Большинство пакетов модулей, которые поставляются с файлами конфи- 
гурации, помещают их в каталог /еёс/һіёра/соп+.а. Например, модули той 551 
(для защищенных веб-серверов) и тоа _руќћоп (для интерпретации кода ру поп) 
имеют связанные файлы конфигурации в каталоге /еёс/һіёра/соп#.а с именами 
551 .соп+ и руһћоп. соп? соответственно. 

Чтобы начать настройку веб-сервера, можно просто установить пакет Ира. 
Однако при желании можно добавить дополнительные пакеты, связанные с па- 
кетом һ&+ра. Один из способов — установить весь пакет Мер Зегуег (в системе 
Ее4ога) или основную группу Ваѕіс У\/еЬ Зегуег (в системе ВНЕГ.), как показано 
в следующем примере: 


# уит ргоиріпѕ+а11 "меб Ѕегуег" 


Помимо пакетов, связанных с пакетом һ++ра (например, гѕуѕ1ора, 1габа1апсе 
и др.), в группе ер Ѕегуег в Еедога существуют и другие пакеты, которые по умол- 
чанию поставляются вместе с Ира. 


ө ВИра-тапиа!. Заполняет каталог /маг/имм/тапиа1 документацией по работе 
с сервером Арасћһе. После запуска службы һ++ра (как показано далее) доступ 
к этому набору руководств можно получить из браузера на локальном компью- 
тере, набрав 1оса1По$% /тапиа1 в адресной строке. 


Вместо 1оса1по$* можно использовать полное доменное имя или ІР-адрес си- 
стемы. Затем появится страница АрасБе Ооситеща@ оп (рис. 17.1). 


ө той 551. Содержит модуль и файл конфигурации, необходимые веб-серверу 
для обеспечения безопасных подключений к клиентам с использованием 
протоколов Ѕесиге боскез Гауег (551) и Тгапзротё Гауег Ѕесигісу (ТТ.5$). 
Эта функция необходима для шифрования различных данных, например, 
при онлайн-покупках. Файл конфигурации находится в каталоге /еёс/һёёра/ 
сопф.9/$$1.соп+. 


® сгурѓо-ий15. Содержит команды для генерирования ключей и сертификатов, 
необходимых для безопасной связи с веб-сервером Арасће. 


е той регі. Содержит модуль Рег! (тоа_рег1), файл конфигурации и связанные 
с ним файлы, необходимые для того, чтобы веб-сервер АрасВе мог напрямую 
выполнять любой код Рег]. 


® рһр. Содержит модуль РНР и файл конфигурации, необходимые для запуска 
РНР-скриптов непосредственно в сервере Арасће. Связанные пакеты включают 
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пакеты рһр-1аар (запуск РНР-кода, который должен получить доступ к базам 
данных ГОАР) и рһр-туѕа1 (поддержка баз данных на сервере АрасВе). 


® рЮр-@ар. Обеспечивает поддержку облегченного протокола доступа к каталогам 
(РАР) в модуль РНР, разрешая доступ к службе каталогов по сети. 


® 54а. Предоставляет прокси-службы для определенных протоколов, таких как 
НТТР, как описано в главе 14 «Администрирование сети». Хотя пакет сам по 
себе не предоставляет НТТР-содержимое, прокси-сервер $4ша обычно пере- 
сылает запросы от прокси-клиентов в Интернет или другую сеть, в которой 
есть веб-содержимое. Такой подход обеспечивает контроль или фильтрацию 
содержимого, доступ к которому клиенты могут получить из дома, школы или 
с места работы. 


® \уеБаНтег. Содержит инструменты для анализа данных веб-сервера. 


< а 2 @ іосаіһозУтапозуј о п З 5 
АРАСНЕ ПРГ ЕАО влаж Звтшо 
*НТТР $ЕВУЕВ РРОЗЕСТ Арасһе НТТР ЅегуегМегѕіоп 2.4 
Араспе > НІТР Займи > росителайоп 


[Араспе НТТР Ѕегуег Мегѕіоп 2.4 боситегайоп 


Амайауе 1 апдиадез: Фа | бе | еп | еѕ | їг | ја { ко | рог | и | 2ћ.сп 
| || сооде ѕеаеа 
КеІеаѕе Моѓеѕ Оѕеге биде Ном-То / Тиогіаіѕ 
Кам ќезіџгез меһ Арасђе 2 3024 Сейіпо Зале Ашћегіјсабсо аг Аиһопгайоп 
Беу (вашгез мВ Арасће 2 122 Віюйіоо 10 Адйсеззез ара Роп Ассеза Сопо! 
Кам еаігеѕ меһ Арасһе 2.0 ой п Е С@1: Рупатис Сомет 
Џрогайпо 50 2.4 от 2.2 Сопбоигацол Засцога Массезз е2 
А ісеп Сонет Сасћта с 5190 іо ) 
Соме Медобабоп Рег-џзег Уер Окесопез (рибёс_ риту) 
Пеѓегепсе Мапиа! , У Ӯ 
Супатіс Ѕһагед ОЫјесіз (050) Беуегзе ргоху зеќыр дшче 
Сотрійоа ара Іозќаіод Егмголтегі УапаЫез НТТР/2 діда 
Зад од Еїез 
5орріпа ог Вемапіоа я > РІайогт ЗресИе Моќеѕ 
Марриа ОР. з (0 ће ЕНезунет 
Рипли ем п Ой Реопрарсе Тижод Ас Ммм 
Модшаз Ѕесиїу Прз ВРМ-разед Зуместя (Реб / Сепоб / Еефога) 
Мині-Ргосеззіпо Модшез (МРМз) Ѕегуег- Уе Сообоеацос Моме! МеУМаге 
р $З/1-$ Ерслуріоп ее 
Балдіегз Ѕиехес Ехесийюл (ог СС] оег Торісѕ 
г гааг ЧЕ). Веміўоо уі тод геме 
Оувтіде С1азз Іпдех ісе ассезз Маша! Нойз Балшу Ауы малта 
Ѕегувг арі Ѕирропіпа Ргодгата Зато 
Сіоззагу Соситегайоп (ог Бемеюрага 


Рис. 17.1. Страница Арасһе роситепќайоп 


Дополнительные пакеты в группе Ме Ѕегуег берутся из подгруппы веб- 
серверов. Запустите команду уит ргоир4 по мер-ѕегуег, чтобы отобразить пере- 
численные ранее пакеты. Некоторые из них позволяют применять разные вари- 
анты предоставления содержимого, например вики (тоіп), системы управления 
содержимым (агира17) и блоги (могаргез$). Другие включают инструменты для 
построения графиков веб-статистики (амѕќаѕ) или используют легкие альтерна- 
тивы веб-серверам АрасВе (115 Пера и спегоКее). 
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Установка веб-сервера Арасће 


Несмотря на то что для установки веб-сервера АрасВе нужен только пакет һ+єра, 
в начале изучения АрасВе следует установить руководство (п+Ера-тапиа1). Если 
вы хотите создать защищенный (551.) сайт и, возможно, использовать для него 
статистику, можно просто установить всю группу пакетов, содержащуюся в дис- 
трибутиве Ее4ога 30: 


# уит ргоиріпѕ+а11 "меб $егуег" 


При наличии интернет-соединения с репозиторием Еейога (или репозиторием 
ВНЕЕГ, если вы используете систему ВНЕТ.) все обязательные и стандартные паке- 
ты из этой группы будут установлены. В таком случае у вас будет все программное 
обеспечение, необходимое для выполнения примеров и упражнений, описанных 
в этой главе. 


Запуск веб-сервера Арасће 


Чтобы запустить веб-сервер АрасВе, нужно задать запуск службы при каждой пере- 
загрузке. В Кеа Наё Ещегри!е Тлпих (до ВНЕТ. 6) и более старых дистрибутивах 
Еедога от имени суперпользователя можно ввести следующее: 


# сһксопғіє ВЕЕра оп 
# зегу1се һі+ра ѕ+агі 
Ѕ+агііпе ПЕЕра: Гок ] 


В системах Еейога 30 и ВНЕГ. 8 включение и запуск пакета Ира осуществля- 
ются с помощью команды зузетс*1: 


# зузфетсЕ1 епаб1е һ++ра. ѕегмісе 
# зузфетсЕ1 зФаг НЕЕра. зегу1се 
# зузфетсЕ1 зфафи$ ПЕЁра.зегу1се 
• ПЕЕра.5зегу1се — Тһе Арасһе НТТР $егуег 
Іоайеа: Іоааеа (/иѕг/116/ѕуѕ+ета/ѕуѕ+ет/һёёра.ѕегмісе; епаб1еа; 
уепаог ргезе*: аіѕаБ1еа) 
Рргор-Іп: /и$г/116/зузфета/зу${ет/НЕЕра . ѕегуісе.а 
— рһр-#рт. соп 
Асііме: асЕ1уе (гиппіпе) ѕіпсе Моп 2019-09-02 16:16:56 ЕОТ; 
21тіп аро 
росѕ: мап: һёёра. ѕегмісе(8) 
Маіп РТО: 11773 (/иѕг/ѕріп/һё+ра) 
Зфафи$: "Тофа1 гедиеѕ+ѕ: 14; Іа1е/Виѕу могкегѕ 100/0; Кедиеѕ+ѕ/ѕес: 
0.0111; Ву+еѕ ѕегуей/5> 
Таѕк5: 214 (1іті: 2294) 
Метогу: 24.67 
Сбгоир: /ѕуѕ+ет. $11се/НЕЕра. ѕегуісе 
Г 11773 /иѕг/ѕріп/һеёра -рғокЕсКООМО 
Г 11774 /иѕг/ѕріп/һеёра -ОЕОКЕСКОЧМО 
Г 11775 /иѕг/ѕріп/һеёра -рғокЕсКООМО 
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Г 11776 /чзг/$61п/НЕЕра -БВЕОКЕСКОУМО 
Г 11777 /чзг/$61п/НЕЕра -БЕОКЕСКОУМО 
—— 11778 /ичзг/$61п/НЕЕра -БВЕОКЕСКОУМО 


При запуске службы һеера по умолчанию запускаются пять или шесть демонов 
Пера (в зависимости от вашей системы Г4пих), которые обрабатывают запросы 
веб-сервера. Для обработки запросов можно настроить больше или меньше демонов 
Пра на основе настроек в файле һі+ра. соп+ (они описаны в подразделе «Файлы 
конфигурации веб-сервера Арасћһе» далее в этой главе). 

Чтобы настроить поведение демона Ира, вы можете изменить службу ИЕЕра, 
запустив команду ѕуѕёетс&1 ед 1 Пера. Так как существуют различные версии 
службы һ++ра, проверьте ее справочную страницу (тап НЕра), чтобы узнать, какие 
параметры можно передать демону Пра. Например, выполните команду зузетсЕ1 
е41+ һеєра и добавьте следующую запись: 


[5егуісе] 
Епуігоптепё=ОРТІОМ№Ѕ='-е дери ' 


Сохраните изменения (сочетания клавиш СігІ+0, Сі1+Х). Добавьте параметр 
-е деБид, чтобы увеличить уровень журнала, отправляя максимальное количество 
сообщений Арасћһе в файлы журнала. Перезапустите службу Вера, чтобы измене- 
ния вступили в силу. Введите команду рѕ, чтобы убедиться в этом: 
$ рѕ -е+ | ргер НЕра 
ГОО 14575 1 
-ОРОКЕСКОУМО 


арасһе 14582 14575 Ө 08:49 ? 00:00:00 /изг/$61п/ПЕЕра -е деБиз 
-ОРОКЕСКОУМО 


Ө 08:49 ? 00:00:01 /изг/зБ1п/ИЕЕра -е аебий 


Если вы добавили параметр отладки (-е дебив), не забудьте убрать его, снова 
запустив команду ѕуѕ+етс+1 едії Ира и удалив запись после окончания отладки 
Арасће, затем перезапустите службу. Если оставить отладку включенной, то файлы 
журнала быстро заполнятся. 


Защита веб-сервера Араспе 


Чтобы защитить Арасће, необходимо знать о стандартных функциях безопасности 
Глпих (права, владение, брандмауэры, ЗесигКу ЕпБапсе Тлпих), а также о функ- 
циях безопасности, специфичных для Арасће. В следующих разделах описываются 
функции безопасности, относящиеся к Арасће. 


Права доступа к файлам веб-сервера Арасће и владения ими 


Процесс демона Пера выполняется от имени пользователя араспе и группы арасће. 
По умолчанию НТМТ-содержимое хранится в каталоге /маг/иммм/һёт1 (определя- 
ется значением переменной роситеп+Коо+ в файле Пра. соп+). 
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Чтобы демон Пера получил доступ к этому содержимому, применяются стан- 
дартные права Глпих. Если у других пользователей нет прав на чтение, они должны 
быть включены для пользователя или группы арасћһе, чтобы файлы считывались 
и обслуживались клиентами. Аналогично любой каталог, через который демон Пера 
должен пройти, чтобы получить доступ к содержимому, должен иметь права на вы- 
полнение для пользователя арасће, группы арасће или другого пользователя (оёћег). 

Хотя вы не можете войти в систему как пользователь арасйе (/$61п/по1о81п — 
это оболочка по умолчанию), но можете создать содержимое как суперпользователь 
и изменить его владельца (команда сһомп) или права (команда сһтоӣ). При этом 
часто отдельные учетные записи пользователей или групп добавляются для соз- 
дания содержимого, которое могут читать все (оёћег), но которое доступно только 
для записи конкретными пользователем или группой. 


Веб-сервер Арасћһе и брандмауэры 


Если вы заблокировали свой брандмауэр (межсетевой экран) в Глпих, необходимо 
открыть несколько портов, чтобы клиенты могли общаться с веб-сервером АрасВе 
через него. Стандартный веб-сервис (НТТР) доступен через ТСР-порт 80, без- 
опасный веб-сервис (НТТР5) доступен через ТСР-порт 443. (Порт 443 появляется 
только в том случае, если вы установили пакет тоа_$$1, как описано далее.) 

Чтобы проверить, какие порты использует сервер һ+ра, примените команду 
пеёѕ+аї: 


# пефзфаф -+ир1п | егер Веера 
+срб ө Ө :::80 Нее ІЅТЕМ 29169/НЕЕра 
фсрб6 ө Ө :::443 НЕНЫ ІЅТЕМ 29169/һ+їра 


Выходные данные в примере показывают, что демон һ++ра (идентификатор 
процесса ТО 29169) прослупгивает все адреса портов 80 (:::80) и 443 (:::443). 
Оба порта связаны с протоколом ТСР (+срб). Чтобы открыть эти порты в дис- 
трибутивах Еейога или Кеа На Епѓегргіѕе Глпих, необходимо добавить правила 
брандмауэра. 

В текущей системе Еедота 30 или ВНЕГ.7 либо 8 откройте окно Еиемиа! (Бранд- 
мауэр), введя Е1гема11 и нажав клавишу Епќег на экране Асіуїйеѕ (Приложения) на 
рабочем столе СМОМЕ 3. Далее выберите вариант Регтапепё (Постоянная) в поле 
СопНаигаНоп (Конфигурация). Затем, выбрав общедоступную зону, установите 
флажки рядом с полями служб ћёр и Һрѕ. Эти порты немедленно откроются. 

Для ВНЕГ. 6 или более старых версий системы Еейога добавьте правила в файл 
/еїс/ ѕуѕсопҒів/ір+аь1еѕ (где-то перед конечным параметром ОВОР или ВЕЗЕСТ), 
например: 

-А ТМРОТ -т ѕ+ае --ѕ+афе МЕМ -т %ср -р ср --Ярогі 80 -ј АССЕРТ 
-А ТМРОТ -т $Фафе --ѕ+ае МЕМ -т %ср -р ср --ЧрогЕ 443 -ј АССЕРТ 


Перезапустите службу 1реаб1е$ (ѕегуісе 1реаб1ез гезфаг®), чтобы новые пра- 
вила вступили в силу. 
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Защита веб-сервера Араспе с помощью ЅЕШпих 


Если система $еситйу Епһапсеа Глпих (ЅЕ1іпих) установлена (по умолчанию в си- 
стемах Ее4ога и Кеа Наё Епќегргіѕе Ііпих), то она обеспечивает дополнительный 
уровень безопасности вашей службе һ++ра. По сути, ЗЕлпах защищает систему 
от повреждений со стороны, к примеру от того, кто взломал демон һ++ра. ЗЕ тих 
создает политику, которая: 


запрещает доступ к файлам, которые не заданы в нужных контекстах файлов. 
Для службы һ++ра в ЗЕГлпах существуют различные контексты файлов содер- 
жимого, файлов конфигурации, файлов журналов, скриптов и других файлов, 
связанных со службой. Любой файл, который не установлен в надлежащий 
контекст, недоступен для демона Ира; 


предотвращает использование небезопасных функций, таких как загрузка 
файлов и аутентификация с открытым текстом, устанавливая логические типы 
(БооІеапѕ) для таких функций в положение о++. Можете выборочно включать 
логические типы по мере необходимости, если они соответствуют вашим тре- 
бованиям безопасности; 


не допускает демон һё+ра к нестандартным функциям, например к порту за 
пределами портов по умолчанию, которые служба может использовать. 


Полное описание функции ЗЕ пих содержится в главе 24 «Повышенная 


безопасность с технологией ЗЕТлтих». Сейчас перечислим некоторые моменты, 
о которых необходимо знать при использовании ЗЕГлпих с веб-сервером Арасће 
и службой һ+ра. 


Отключите ЗЕГлтих. Нет необходимости задействовать ЗЕТлпих постоянно. 
Вы можете оставить его в разрешительном режиме (регтіѕѕіме), если не хотите 
создавать политику ЗЕГ4лпих, необходимую для того, чтобы веб-сервер работал 
с ЗЕ тих. Можете изменить принудительный режим на разрешительный, 
отредактировав файл /еёс/ ѕуѕсопҒїв/ ѕе1іпих так, чтобы значение зЕЕТМОХ 
было установлено, как в примере далее. После этого в следующий раз, когда 
перезагрузите систему, система будет переведена в разрешительный режим. 
Это означает, что если вы нарушаете политику $Е1 пих, то это событие будет 
зарегистрировано, но не прервано системой (как было бы в принудительном 
режиме): 


ЅЕШІМОХ=регтіѕѕіме 


Прочитайте справочную страницу ћёєрӣ ѕеіпих. Введите команду тап НЕра_ 
ѕе1іпих из оболочки. На этой справочной странице показаны соответствующие 
контексты файлов и доступные логические типы. (Если справочной страницы 
в системе нет, установите ее с помощью команды уит іпѕёа11 ѕе1іпих-ро1ісу-Яос.) 


Используйте стандартные места расположения для файлов. При создании 
новые файлы наследуют контексты файлов каталогов, в которых они хранятся. 
Поскольку файл /еёс/һ+ёра установлен в правильный контекст для файлов 
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конфигурации, файл /маг/имм/һ%т1 подходит для файлов содержимого и т. д. 
Правильная настройка контекстов файлов предполагает простое копирование 
файлов или создание новых файлов там же. 


® Измените настройки ЗЕГлпих, чтобы разрешить нестандартные функции. 
Возможно, вы захотите использовать веб-содержимое из каталога /ту$и++ или 
поместить файлы конфигурации в каталог /е{с/мпафеуег. Кроме того, можете 
разрешить пользователям вашего сервера загружать файлы, запускать скрипты 
или включать другие функции, которые по умолчанию отключены в ЗЕ ах. 
В этих случаях можете задействовать команды ЗЕГлпих для установки контек- 
стов файлов и логических типов, необходимых для того, чтобы ЗЕ их работал 
так, как нужно вам. 


Обязательно прочтите главу 24 «Повышенная безопасность с технологией 
ЗЕГлпих», чтобы узнать больше о системе ЗЕТапих. 


Файлы конфигурации веб-сервера Араспе 


Файлы конфигурации для Арасһе НТТРОР невероятно гибки, а это означает, что 
сервер можно настроить практически полностью под свои нужды. Такая гибкость 
достигается за счет повышенной сложности в виде большого количества вариантов 
конфигурации, называемых директивами. На практике, однако, в большинстве 
случаев активно используются лишь несколько директив. 


ПРИМЕЧАНИЕ 


На сайте ћїраӣ.арасће.огд/досѕ/сигепі/тоа/дігесіімеѕ.һітіІ представлен полный список директив, поддерживае- 
мых веб-сервером Арасће. Если у вас установлен пакет ћїїра-тапиа!, то описания этих директив и других функций 
Арасһе будут доступны в руководстве на сервере, на котором работает Арасће: Іосаћоѕі/тапиа//. 


В дистрибутивах Еедога и КНЕІ. основной файл конфигурации базового сер- 
вера АрасВе находится в файле /ес/һ+ра/соп#/һеера. соп+. Помимо него, любой 
файл, заканчивающийся на . соп в каталоге /еёс/һёёра/соп#.а, также применяется 
для настройки сервера Арасће (на основе строки Іпс1иае в файле Һера. соп?). 
В дистрибутиве ОЪипќи конфигурация Арасће хранится в текстовых файлах, счи- 
тываемых сервером АрасВе, начиная с /еёс/арасһе2/арасһе2. соп+. Конфигурация 
считывается с начала до конца, причем большинство директив обрабатываются 
в том порядке, в котором они были прочитаны. 


Использование директив 


Область действия многих директив конфигурации может быть изменена в зави- 
симости от контекста. Другими словами, некоторые параметры могут быть уста- 
новлены на общем уровне, а затем изменены для конкретного файла, каталога или 
виртуального хоста. Некоторые директивы всегда носят общий характер, например 
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определяющие, какие ІР-адреса прослушивает сервер. Другие активны только при 
применении к определенному месту. 

Места настраиваются в виде начального тега, содержащего тип места и местопо- 
ложение ресурса, затем перечисляются параметры конфигурации для него, и все это 
заканчивается конечным тегом. Эту форму часто называют блоком конфигурации, 
и она очень похожа на НТМТ-код. Специальный тип блока конфигурации, извест- 
ный как блок Іосайоп, используется для ограничения области действия директив 
определенными файлами или каталогами. Эти блоки имеют следующий вид: 


<Іоса+іоп+ад ѕресіўіег> 
(ор+їопѕ ѕресіўіс Фо ођрјесіѕ таЕсһіпд һе ѕресіўіег до иїіёһіп Еһіѕ Бос) 
</ИІосаїіоп+ад> 


Существуют различные типы тегов места, которые выбираются в зависимости 
от типа указанного местоположения ресурса. Спецификатор, включенный в началь- 
ный тег, обрабатывается в зависимости от типа тега местоположения. Теги места, 
которые вы обычно используете и с которыми сталкиваетесь, — это ріпесёогу, 
Е11е$ и оса 1оп, они ограничивают область действия директив определенными 
каталогами, файлами или местоположениями соответственно. 


© р1гесфогу применяются для указания пути, основанного на расположении 
в файловой системе. Например, <рігесіогу/> относится к корневому каталогу 
на компьютере. Каталоги наследуют настройки из каталогов, расположенных 
над ними, причем наиболее специфичный блок О1гесфогу переопределяет 
менее специфичные независимо от порядка их появления в файлах конфи- 
гурации. 

Ф Е11е используются для указания файлов по имени. Они могут содержаться 
внутри блока О1гесфогу и применяться только с файлами из этого каталога. 
Настройки в блоке Е11е переопределяют настройки в блоках рігес+огу. 


© | осаїіоп используются для указания О ВТ, применяемого для доступа к файлу 
или каталогу. Они отличаются от блока рігесќогу тем, что относятся к адресу, 
содержащемуся в запросе, а не к реальному местоположению файла на диске. 
Теги Госа1оп обрабатываются последними и переопределяют настройки в бло- 
ках О1гесфогу и Рі1еѕ. 


Сравните варианты этих тегов ріпесёогуМа+сћ, Е11езМаесНн и Госа1опМаесн. 
У них одна и также функция, однако они могут содержать регулярные выражения 
в спецификации ресурса. Блоки Рі1еѕМаќсһ и Госа{1опМафсй обрабатываются одно- 
временно вместе с блоками Е11е и [оса 1оп соответственно. Блоки О1гесфогуМа* сп 
обрабатываются после блоков рігес+огу. 

Сервер Арасһе можно настроить также для обработки параметров конфигу- 
рации, содержащихся в файлах с именем, указанным в директиве Ассе$$Е1 1еМате 
(которая обычно имеет значение .һёассеѕѕ). Директивы в файлах конфигурации 
доступа применяются ко всем объектам в каталоге, который они содержат, вклю- 
чая подкаталоги и их содержимое. Файлы конфигурации доступа обрабатываются 
одновременно с блоками ріпесёогу, используя аналогичный порядок наиболее 
специфического соответствия. 
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ПРИМЕЧАНИЕ 


Файлы управления доступом полезны тем, что позволяют пользователям изменять определенные настройки, 
не имея доступа к файлам конфигурации сервера. Директивы конфигурации, разрешенные в файле конфигура- 
ции доступа, определяются параметром АНом!Оуеги@е в своем каталоге. Некоторые директивы не имеют смысла 
на этом уровне и при попытке перейти к ИВГобычно выводят сообщение о внутренней ошибке сервера. Параметр 
АНо\/Омеги4е подробно описан на сайте һїќра.арасһе.огд/досѕ/тоа/соге.һті#аПоугоеггіде. 


Три директивы, обычно встречающиеся в блоках расположения и файлах 
управления доступом, — это рігесёогуІпаех, Ор{1оп$ и Еггогроситепї: 


® О1гестогутТпаех сообщает серверу Арасће, какой файл следует загрузить, если 
ОВГ содержит каталог, но не имя файла. Эта директива не работает в бло- 
ках Е11е$. 


® Параметр ОрЕ1оп$ используется для настройки того, как АрасВе обрабатывает 
файлы в каталоге. Параметр ЕхессбІ сообщает Арасће, что файлы в этом ката- 
логе могут запускаться как ССІ-скрипты, а параметр Тпс1иае$ — что включения 
на стороне сервера (5515) разрешены. Другим распространенным параметром 
является Іпдехеѕ, который приказывает АрасВе генерировать список файлов, 
если одно из имен файлов, найденных в настройках рігесёогуІпаех, отсутству- 
ет. Можно указать абсолютный список параметров или изменить его, добавив 
перед именем параметры. См. страницу ћ&ра.арасһе.ого/аосѕ/гтод/соге.Һті#оріопѕ 
для получения дополнительной информации. 


® Директивы Еггогроситеп* можно использовать для указания файла, содер- 
жащего сообщения веб-клиентам при возникновении конкретной ошибки. 
Файл располагается в каталоге /уаг/иим. Директива должна указывать 
код ошибки и полный ОВ]! в документе об ошибке. Возможные коды оши- 
бок — 403 (отказано в доступе), 404 (файл не найден) и 500 (внутренняя 
ошибка сервера). Больше информации о директиве Еггогбоситеп* имеется 
на странице һќра.арасће.огд/аосѕ/тоа/соге.һті#еггогаоситепё. Например, когда 
клиент запрашивает ОВТ-адрес с ненайденного сервера, следующая стро- 
ка Еггогроситепё приводит к тому, что код ошибки Тпс1и4ае$ отправляет 
клиенту сообщение об ошибке, которая указана в файле /маг/мим/еггог/ 
НТТР_МОТ_РОУМО. НЕт1 . маг: 


Еггогроситеп 404 /еггог/НТТР_МОТ_РЕОУЮО. һЕт1. маг 


Еще один распространенный вариант применения блоков расположения 
и файлов управления доступом — ограничение или расширение доступа к ресур- 
су. Директива А11ом используется для разрешения доступа к соответствующим 
хостам, а директива репу — для его запрета. Оба этих параметра могут встре- 
чаться более одного раза в блоке и обрабатываются на основе параметра Огаег. 
Установив параметр Огаег в директиве репу, директива А11ом разрешает доступ 
к любому хосту, который не указан в директиве репу. После настройки дирек- 
тивы А11ом директива репу запрещает доступ к любому хосту, не разрешенному 
в директиве А110м. 
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Как и в большинстве других случаев, для хоста чаще используются наиболее 
специфичные параметры А11ои или репу, что означает, что вы можете запретить 
доступ (репу) к диапазону и разрешить доступ (А11ом) к подмножествам этого 
диапазона. Добавив параметр ѕаіѕғу и некоторые дополнительные параметры, вы 
можете задействовать аутентификацию паролем. Для получения дополнительной 
информации о директивах А1 1, репу, $а+1$+у и др. обратитесь к Арасһе Отесйуе 
То4ех по адресу ћ&ра.арасһе.ого/аосѕ/ситепё/тоа/аігесіімеѕ.Һіті. 


Настройки по умолчанию 


Начать использовать веб-сервер Арасһе можно сразу после его установки, пото- 
му что файл НЕЕра. соп# содержит настройки по умолчанию, которые сообщают 
серверу, где искать веб-контент, скрипты, файлы журналов и другие элементы, 
необходимые для работы. Он также включает в себя настройки, которые сообщают 
серверу, сколько серверных процессов должно выполняться одновременно и как 
отображается содержимое каталога. 

Если вы хотите разместить один сайт (например, на домене ехатріе.сот), просто 
добавьте в каталог /маг/иим/һет1 его содержимое и адрес вашего сайта на О№$- 
сервере, чтобы другие пользователи могли просматривать его. Затем по мере не- 
обходимости можно изменить описанные ранее директивы. 

Чтобы помочь вам разобраться с настройками, которые входят в стандартный 
файл НЕЕра. соп+, я далее привел некоторые из них вместе с описанием. Чтобы было 
яснее, часть комментариев удалил и переставил некоторые настройки. 

Настройки в следующем примере отображают места, где сервер Вера получает 
и куда помещает содержимое по умолчанию: 


5егуегКоо{ " /еёс/һі+ра" 

Тис1иае соп+.а/*. соп+ 

Еггогіов 108$5/еггог_105 

СизфотЁЕой "1085/ассеѕ5 10р" сотріпеа 
БоситепВоо* "/маг/ммм/ Пт" 

Ѕсгір+А1іаѕ /св1-61п/ "/маг/ммм/ св1-Б1п/" 


Директива $егуегВоо*1 определяет файл /еёс/һіёра как место, где хранятся 
файлы конфигурации. 

В таком случае там, где появляется строка Тпс1иде, все файлы, оканчивающиеся 
на .соп+ в каталоге еёс/һёёра/соп#.а, включены в файл НЕра. соп+. Файлы кон- 
фигурации часто связаны с модулями Арасће (и включены в программный пакет 
вместе с модулем) или блоками виртуальных хостов (которые вы можете добавить 
сами при настройке виртуальных хостов в отдельных файлах). См. раздел «Вирту- 
альный хост в веб-сервере Арасһе» далее в этой главе. 

Сообщения об обнаружении ошибок или обработки содержимого помещаются 
в файлы, указанные строками Еггог1 ов и Сиѕёотіов. Как видно в приведенном 
примере, все эти журналы хранятся в каталогах /ефс/ИЕра/105$/еггог_105 и её с/ 
ПЕЕра/1055/ассез$_1о соответственно. Эти журналы жестко связаны с каталогом 
/маг/1ов/һ+ёра, поэтому оттуда можно получить доступ к тому же файлу. 
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Директивы роситеп&Коо и 5сгір+А1іаѕ определяют, где хранится содержимое, 
обслуживаемое НЕра-сервером. Обычно файл Іпӣех.һ&т размещается в каталоге 
РоситепЕВоо{ (/маг/ммм/һт1 по умолчанию) в качестве домашней страницы. 
Добавлять содержимое можно по мере необходимости. Директива Ѕ5сгір+А1іаѕ со- 
общает демону Ира, что все скрипты, запрошенные из каталога срі-біп, должны 
быть найдены в каталоге /маг/ммм/сві-біп. Например, клиент может получить 
доступ к скрипту, расположенному в файле /маг/ммм/сеі-біп/ѕсгір. сві, введя 
ОВГ-адрес, допустим, ехатріе.соту/сдјі-Біп/ѕсгірё.сој. 

Помимо расположения файлов, в файле НЕЕра. соп можно найти и другую 
информацию, например: 

Ііѕёеп 80 

У5ег арасһе 

бгоир арасһе 

5егуегАат1п гоо@1оса1һоѕі 


01гесфогуТпаех іпаех.һёт1 іпаех.рһр 
АссеѕѕҒі1еМате .һФассеѕѕ 


Директива 1іѕёеп 80 указывает службе һ+ра прослушивать входящие запро- 
сы на порте 80 (порт по умолчанию для протокола НТТР). По умолчанию она 
прослушивает все сетевые интерфейсы, хотя ее можно ограничить выбранными 
интерфейсами по ІР-адресу (например, іѕёеп 192.168.0.1:80). 

Директивы Оѕег и бгоир говорят службе һєра работать от имени арасћһе как для 
пользователя, так и для группы. Значение директивы ЅегуегАатіп (гоо+@1оса1ћоѕ+ 
по умолчанию) публикуется на некоторых веб-страницах, чтобы сообщить поль- 
зователям, куда обращаться по электронной почте при возникновении проблем 
с сервером. 

Директива рігесіогуІпӣех перечисляет файлы, которые служба һе+ра будет 
обслуживать при запросе каталога. Например, если браузер запросил каталог 
һер: //Но5* /мпафемег/, то служба пера увидит, существует ли каталог /маг/нмм/ 
ћЕм1 /мһа+еуег/іпаех .һёт1, и, если он есть, начнет его обслуживать. Если бы ката- 
лога не существовало, то служба һё+ра искала бы файл 1п4ех .рНр. Если этот файл 
не найден, содержимое каталога отобразится. Чтобы указать службе НЕра исполь- 
зовать содержимое файла .һ+ассеѕѕ, можно добавить директиву Ассе$$Е11еМапе, 
если он существует в каталоге. Например, файл можно использовать для того, 
чтобы потребовать защитить каталог паролем или указать, что содержимое ката- 
лога должно отображаться определенным образом. Однако для того, чтобы этот 
файл работал, контейнер директивы рігесёогу (описан далее) должен отключить 
параметр А11ом0\егг1ае. (По умолчанию параметр А110омОуеггійе №пе запрещает 
применение файла .һ+ассеѕѕ для любых директив.) 

Далее показаны контейнеры директив рігесќогу, которые определяют поведе- 
ние при доступе к корневым каталогам (/) /маг/ммм и /маг/мим/ Пт]: 
<О1гесфогу/> 


А11]омО\егг1ае попе 
Кеди1ге а11 Яепіеа 
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</01гесфогу> 

<О1гесфогу "/маг/мим" > 
А11омО\уегг14е № пе 
# А110ом ореп ассеѕ5: 
Кеди1ге а11 ргапёеа 

</01гесфогу> 

<О1гесфогу " /маг/ммм/һЕт1" > 
ОрЕ1оп$ Іпаехеѕ Ғо110мЅуті іпкѕ 
А110омОуеггіде №пе 
Кеди1ге а11 ргапёеа 

</01гесфогу> 


Первый контейнер рігесїогу (/) указывает, что, если служба Пера попытается 
получить доступ к любым файлам в файловой системе Тіпих, он будет запрещен. 
Директива А11омО\егг1ае попе запрещает файлам .һ+ёассеѕѕ переопределять на- 
стройки для этого каталога. Эти параметры применяются ко всем подкаталогам, 
которые не определены в других контейнерах директивы О1гес®огу. 

В каталоге /уаг/мим можно настроить доступ к содержимому, то есть предо- 
ставить доступ к содержимому, добавленному в него. Однако переопределение 
параметров недопустимо. 

Контейнер директивы рігесёогу/уаг/имм/һёт1 следует за символическими 
ссылками и не допускает переопределений. При установке параметра Кеди1ге а11 
Бгапёеа служба Пера никак не препятствует доступу к серверу. 

Если все только что описанные настройки сработали, можно начать добавлять 
нужное содержимое в каталоги /маг/ммм/һ&т1 и /маг/мим/св1-61п һёт1. Одна из 
причин, по которым настройка по умолчанию здесь не подходит, заключается 
в том, что может понадобиться обслуживать содержимое для нескольких доменов 
(например, ехатріе.сот, ехатр!е.огд и ехатре.пе!). Для этого необходимо настроить 
виртуальные хосты. Виртуальные хосты, более подробно описанные в следующем 
подразделе, — это удобный (и почти необходимый) инструмент для доставки кли- 
ентам различной информации на основе адреса или имени сервера, на который 
направляется запрос. К виртуальным хостам применяются большинство общих 
параметров конфигурации, но они могут быть переопределены директивами внутри 
блока М1геиа1Но$+. 


Виртуальный хост в веб-сервере Араспе 


Веб-сервер АрасБе поддерживает создание отдельных сайтов на одном сервере для 
сохранения различного содержимого. Отдельные сайты настраиваются на одном 
сервере в так называемых виртуальных хостах. 

На самом деле виртуальные хосты — это простой способ добавить содержимое 
для нескольких доменов, доступных с одного и того же сервера АрасВе. Вместо 
того чтобы физически обслуживать содержимое для каждого домена из отдельной 
системы, можно обслуживать его для нескольких доменов из одной операционной 
системы. 
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Сервер АрасВе, выполняющий виртуальный хостинг, может иметь несколько до- 
менных имен, разрешенных на ІР-адресе сервера. Информация, которая отсылается 
веб-клиенту, зависит от доменного имени, используемого для доступа к серверу. 

Например, если клиент попал на сервер, запросив имя \\\.ехатр!е.сот, то 
он будет направлен к контейнеру виртуального хоста, для которого директива 
ЅегуегМате применяет ммуу.ехатріе.сот. Контейнер предоставит место располо- 
жения содержимого и, возможно, различные журналы ошибок или директивы 
01гесфогу из общих настроек. Таким образом, каждым виртуальным хостом можно 
управлять так, как если бы он находился в отдельной системе. 

Чтобы использовать виртуальный хостинг на основе имен, добавьте столько 
контейнеров Міг&џа1Ноѕё, сколько захотите. Порядок настройки виртуального 
хоста таков. 


ПРИМЕЧАНИЕ 


После подключения первого блока Миа!Ноз{ стандартная директива РоситепїКоої (/уаг/угу\у/һіті) больше 
не используется, если кто-то обращается к серверу по ІР-адресу или какому-то имени, которое не задано в контей- 
нере ҮігіџиаНоѕї. Вместо этого первый контейнер \/ігїиаіНоѕї служит местом расположения сервера по умолчанию. 


1. В системах Еедота и ВНЕГ. создайте файл с именем /еёс/һё+рӣ/соп#.а/ 
ехатр1е . огр. соп? с помощью следующего шаблона: 


<\М1гЕиа1Но$* *:80> 


ЅегмегАатіп мебтаѕъеғ@ехатріе.оғ9 
5егуегМате ими. ехатр(е. ога 
5егуегА11а$ иер.ехатр(е. ога 


Роситеп+Коо /мар/иии/һЕті /ехатріе.оғд/ 
01гесфогуТпаех іпаех.рһр іпӣех.һёт1 іпӣех.һ&т 
</Мігёџа1Ноѕ+> 


В примере показаны следующие настройки. 


" Спецификация *: 80 в блоке Мігёиа1ноѕ? указывает, к какому адресу и порту 
относится этот виртуальный хост. Если ІР-адресов, связанных с вашей си- 
стемой пих, несколько, то символ * заменяется определенным ГР-адресом. 
Значение порта необязательно ДЛЯ спецификаций Үіг+иа1Ноѕ+, но всегда 
должно использоваться для предотвращения ошибок для виртуальных хо- 
стов 551 (по умолчанию они применяют порт 443). 


= Строки $егуегМаме1 и ЅегуегА1іаѕ1 сообщают веб-серверу АрасВе, какие 
имена должен распознавать виртуальный хост, поэтому замените их имена- 
ми, соответствующими вашему сайту. Не используйте строку ЅегуегА1іаѕ, 
если у вас нет дополнительных имен для сервера. Задействуйте строку 
ЅегуегА1іаѕ с несколькими именами, если есть альтернативные имена. 


= Директива боситепЕВоо* указывает, где хранятся веб-документы (содержи- 
мое, обслуживаемое для этого сайта). Несмотря на то что она отображается 
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как подкаталог, который создается в каталоге роситепКоої по умолчанию 
(/маг/имм/һёт1), сайты прикрепляются к домашним каталогам определенных 
пользователей (например, /һоте/сһгіѕ/риб1іс һёт1), так что различными 
сайтами могут управлять разные пользователи. 


2. При включенном хосте примените команду араспес*1 для проверки конфигу- 
рации, а затем выполните перезагрузку с помощью команды вгасефи1: 


# араспесЕ1 соп+Ғір+еѕі 
бупфах ОК 
# арасһес+1 5гасе+и1 


При условии, что вы зарегистрировали систему на О№5-сервере, браузер дол- 
жен иметь возможность получить доступ к этому сайту с помощью мму.ехатріе.ого 
или меБ.ехатріе.огд. Если это сработает, можете начать добавлять в систему другие 
виртуальные хосты. 

Существует еще один способ расширить возможности вашего сайта — раз- 
решить нескольким пользователям делиться содержимым собственных ресурсов 
на вашем сервере. Можете разрешить им добавлять то, чем они хотят поделиться 
через ваш веб-сервер, в подкаталог своих домашних каталогов, как описано в сле- 
дующем разделе. 


ПРИМЕЧАНИЕ 


Удобный способ управления виртуальными хостами — хранить каждый в отдельном файле. Однако необходимо 
сохранить ваш основной виртуальный хост в файле, который будет прочитан раньше других, потому что первый 
виртуальный хост получает запросы на имена сайтов, не совпадающие ни содним из них в вашей конфигурации. 
В коммерческой среде веб-хостинга обычно создается специальный виртуальный хост по умолчанию, содержа- 
щий сообщение об ошибке, говорящее, что сайт стаким именем не настроен. 


Разрешение пользователям публиковать 
свой веб-контент 


В ситуациях, когда у вас нет возможности настроить виртуальный хост для каж- 
дого пользователя, которому необходимо предоставить веб-пространство, задей- 
ствуйте модуль тоа _изега1г в веб-сервере Арасће. Если этот модуль включен (по 
умолчанию отключен), для каждого пользователя в Интернете доступен каталог 
риуб11<_Ит1 в домашнем каталоге по адресу НЁр: //егуегпате/^изегпате/. 

Например, пользователь с именем мёискег на хосте мм\м.ехатріе.огд хранит 
веб-контент в каталоге /һоте/нёискеғ/риб1іс_ һёт1. Он доступен по адресу 
млллм/.ехатр/е.огд/ ^^\искег. 

Внесите изменения в файл /еёс/һеєра/соп#/һіёра. соп+, чтобы пользователи 
могли публиковать контент из собственных домашних каталогов. Не все версии 
Арасћһе имеют подобные блоки в файле Һера. соп, поэтому, возможно, придется 
создавать их с нуля. 
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1. Создайте блок <т+Моди1е тоа иѕегаіг.с>. Измените сһгіѕ на любое имя пользо- 
вателя, чтобы разрешить пользователям создать собственный каталог риб11с_ 
һіт1. Можно добавить несколько имен: 
<Т+Моди1е тод_изега1г.с> 

Узег01г епаБ1еа сһгіѕ 


Оѕегріг риб1іс һёт1 
</Т+Моди1е> 


2. Создайте блок директивы <Рігес+огу /поте/*/риб11<с_И+т1> и измените на- 
стройки по своему усмотрению. Пример того, как блок будет выглядеть: 
<О1гесфогу "/һоте/*/риб1іс һҺёт1"> 

ОрЕ1оп$ Іпаехеѕ Іпс1ийеѕ Ғо11омЅуті іпкѕ 


Кеди1ге а11 ргапёеа 
</01гесфогу> 


3. Пусть ваши пользователи создадут каталоги риб1іс һёт1 в своих домашних 
каталогах: 


$ шка1г ФНОМЕ/риБ1іс Һ+т1 


4. Установите права на выполнение (как суперпользователь), чтобы демон һ+ра 
мог получить доступ к домашнему каталогу: 


# сито +х /һоте /һоте/* 


5. Если система ЗЕТапих находится в принудительном режиме (по умолчанию 
в дистрибутивах Еедога апа ВНЕГ.), то правильный контекст файла ЗЕ пих 
(ПЕЕра_изег_сопфеп+_+) должен быть установлен в каталогах /Ноте/* /мим, 
/поте/*/ме и /һоте/*/риб1іс һет1, чтобы 5ЕТлпих позволял демону һ+ра авто- 
матически получать доступ к содержимому. Если по какой-то причине контекст 
не задан, установите его следующим образом: 
іра _иѕег_сопёепЕ + Фо /һоте/*/ 

# сһсоп -В --геҒегепсе= /маг/ммм/һт1/ /һоте/*/риБ1іс ҺЕт1 


6. Установите логический тип ЗЕ пах, чтобы пользователи могли обмениваться 
НТМГ-содержимым из своих домашних каталогов: 


# зефзеБоо1 - Р ВЕЁра_епаб1е_потед1г$ +гие 


7. Перезапустите или перезагрузите службу һ+ра. На этом этапе появляется воз- 
можность получить доступ к содержимому каталога риб1іс ћ&т1 пользователя, 
набрав в браузере / /һоѕёпате/~иѕег. 


Защита веб-трафика с помощью технологии 5$Ш/ТЕ$ 


Все данные, которыми вы делитесь со своего сайта с помощью стандартного про- 
токола НТТР, отправляются в виде открытого текста. Это означает, что любой, кто 
наблюдает за трафиком в сети между сервером и клиентом, может просматривать 
ваши незащищенные данные. Чтобы обезопасить эту информацию, можно добавить 
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сертификаты на сайт (чтобы клиент мог проверить, кто вы) и зашифровать данные 
(чтобы никто не мог войти в вашу сеть и увидеть данные). 

Приложения коммерческой среды, например, интернет-магазины и те, кто 
оказывает банковские услуги, всегда должны быть зашифрованы с помощью 
спецификаций Ѕесиге ЅосКкеїѕ Гауег ($51.) или Тгапѕроге Гауег Ѕесигісу (ТІ.5). 
Спецификация ТТ.$ основана на версии 3.0 спецификаций 551, поэтому они очень 
похожи по своей природе. Из-за этого сходства, а также потому, что 551. старше, 
последняя используется чаще. Для веб-соединений сначала устанавливается 551.- 
соединение, а затем через него «туннелируется» обычная НТТР-связь. 


ПРИМЕЧАНИЕ 


Поскольку спецификация 551 действует раньше любого НТТР-соединения, работа виртуального хостинга на осно- 
ве имен (который выполняется на уровне НТТР) с 551. проблематична. Как следствие, каждый виртуальный хост 
591, который вы настраиваете, должен иметь уникальный ІР-адрес. (См. сайт Араспе для получения дополнитель- 
ной информации: ВЕ ра.араспе.ога/Чос$/Упо$Е5/пате-Базед. т.) 


При соединении 551-клиента и 55Г.-сервера для проверки идентификаци- 
онных данных и установления параметров сеанса и ключа сеанса используется 
асимметричная криптография (открытый ключ). Затем с согласованным ключом 
применяется симметричный алгоритм шифрования, чтобы зашифровать данные, 
передаваемые во время сеанса. Асимметричное шифрование во время фазы <руко- 
пожатия» позволяет обеспечить безопасную связь, не задействуя предварительный 
ключ, а симметричное шифрование является более быстрым и практичным для 
использования с данными сеанса. 

Чтобы клиент мог проверить сервер, последний должен иметь заранее сгене- 
рированный закрытый ключ и сертификат, содержащий открытый ключ и ин- 
формацию о сервере. Этот сертификат проверяется с помощью открытого ключа, 
известного клиенту. 

Сертификаты обычно подписаны цифровой подписью, выданной сторонним 
центром сертификации (сегайсае аи фотку, СА), который проверил личность 
создателя запроса и действительность запроса. В большинстве случаев СА — это 
компания, которая договорилась с поставщиком браузера об установке своего сер- 
тификата. Затем СА взимает плату с оператора сервера за свои услуги. 

Коммерческие центры сертификации различаются по цене, функциям и под- 
держке браузеров, но помните, что цена не всегда является показателем качества. 
Популярные СА — ш$бапЕ $ $Т. (ммм пап5$|.сот), её; Епсгурі (млм. еепсгуре.ога) 
и ЮіеіСеге (ммм. олсек.сот). 

У вас также есть возможность создавать самоподписанные сертификаты, хотя 
их стоит применять только для тестирования или для небольшого количества 
пользователей сервера и если вы не планируете добавлять эти сертификаты в не- 
сколько систем. Инструкции по созданию самоподписанного сертификата при- 
ведены в пункте «Создание $51 -ключа и самоподписанного сертификата» далее 
в этом подразделе. 
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И наконец, последний вариант — запустить собственный центр сертификации. 
Возможно, стоит делать это только в том случае, если у вас есть ожидающие сер- 
тификата пользователи и средства для распространения сертификата СА среди 
них (включая помощь в установке его в своих браузерах). Процесс создания СА 
слишком сложен, чтобы описывать его в этой книге, но это достойная альтернатива 
самоподписанным сертификатам. 

В следующих пунктах рассказано, как настраивается по умолчанию НТТР5- 
связь в дистрибутивах Еейога и ВНЕГ. при установке пакета той 551. После этого 
я опишу, как лучше настроить 551.-связь, создав собственные $51 -ключи и серти- 
фикаты для веб-сервера (в системе Еейога или ВНЕГ.), который мы настраивали 
ранее в этой главе. 


Настройка 551 -сертификата 


Установите пакет то4_$$1 в системе Еедога или КЕНЕТ. (это происходит по умол- 
чанию, если вы установили группу пакетов Ваѕіс ҰеБ Ѕегуег), после этого будут 
созданы самоподписанный сертификат и закрытый ключ, что позволяет сразу же 
использовать протокол НТТР$ для связи с веб-сервером. 

Хотя настройка по умолчанию пакета тоа 551 реализует зашифрованную связь 
между вашим веб-сервером и клиентами, но из-за того, что сертификат самопод- 
писанный, клиент, обратившийся к вашему сайту, будет предупрежден о том, что 
сертификат ненадежен. Перед началом изучения настройки сертификата 551. для 
веб-сервера Арасће, убедитесь, что пакет той 551 установлен на сервере, на котором 
запущена служба пера: 


# уит 11$%а11 тоа 551 


Пакет тод_$5$1 включает в себя модуль, необходимый для реализации $81. 
на веб-сервере (то4_$51.50), и файл конфигурации для 551.-хостов /еЕс/пеера/ 
соп+.4/$$1.соп+. В этом файле содержится множество комментариев, которые 
помогут понять, что нужно изменить. Строки без комментариев определяют на- 
чальные настройки и виртуальный хост по умолчанию. Пример нескольких таких 
строк: 


Ііѕ+еп 443 һ++рѕ 


<Мігёџа1Ноѕ _ЯеҒаџ1+_:443> 
Еггогіов 1085/551 еггог 10р 
ТгапѕҒегіов 1085/551 ассеѕ5 106 
Іоріеме1 магп 

551Епріпе оп 


551Сегіі+Ғіса+еҒі1е /еёс/ркі/+615/сегіѕ/1оса1һоѕі.сгі 
551СегііҒісаеКеуЕі1е /ес/ркі/+15/ргімате/1оса1һоѕ+.Ккеу 


</\М1гЕца1Но$+> 
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Служба $81. настроена на прослушивание стандартного 55Т.-порта 443 на всех 
сетевых интерфейсах системы. 

Создается блок Мігёџа1Ноѕ, который заставляет сообщения об ошибках и сооб- 
щения о доступе регистрироваться в файлах журналов, отделенных от стандартных 
журналов, используемых сервером (551 епгог 108 и ѕ551 ассеѕ5 1оріп в каталоге 
/маг/1ов/һеера/). Уровень сообщений журнала установлен на магп, и команда 
551Епріпе включена. 

В предыдущем примере две записи, связанные с $51 -сертификатами в блоке 
\У1геца1Но$*, отображают информацию о ключе и сертификате. Как упоминалось 
ранее, ключ генерируется при установке пакета тоа 551 и помещается в файл /еёс/ 
ркі/+15/ргімате/1оса1ћоѕї. кеу. С помощью этого ключа создается самоподписан- 
ный сертификат /еёс/ркі/15/сег5/10са1һоѕі.сгї. Когда вы создадите собствен- 
ный ключ и сертификат, вам нужно будет заменить значения 551СегііҒісатеҒі1е 
и 551Сегіі+Ғіса+екКеуғі1е в этом файле. 

После установки пакета тод_$$1 и перезагрузки файла конфигурации проверьте 
следующим образом, работает ли сертификат по умолчанию. 


1. Установите соединение с сайтом из браузера с помощью протокола НТТР. 
Например, если вы используете браузер ЕігеЃох в системе, где работает веб- 
сервер, введите һё+рѕ : //1оса1һоѕї в строке поиска и нажмите клавишу Епќег. 
На рис. 17.2 показан пример страницы. 


2. Эта страница предупреждает о том, что проверить подлинность этого сайта не- 
возможно, так как нельзя узнать, кто создал данный сертификат. 


| А \“агпіпд: Роќепіїа! Ѕеси х |+ х 


2 (и © һірѕ:/Лосаіһоѕі "о ў № © & = 


Я Үүагпіпд: Роїепіа! Ѕесигіќу Кіѕк Аһеаа 

Еігеѓох деќесќед а роќепіа! зесигИу {Һгеа{ апа 914 пої сопіїпџие {о Іоса[ћоѕ*. Куси м5 {$ Це, аЦасКег соціа {гу {о 
${еа( іпѓогтайоп ке уоиг раз$\/огд, егпай$, ог сгед И саг деѓаііѕ. 

Ма сап уси до аБоџї И? 

Тһе іѕѕие 15 тос! 1їке[у мВ (ће мерѕіќе, апа (ћеге іѕ поћіпо уои сап до {0 гезо\е И. 


1Ғуоџ аге оп а согрогаќе пеммогк ог ип апії-мігиѕ ѕоћухаге, уои сап геасћ ош ќо Һе ѕиррогі(еагпѕ ог аѕѕіѕ{апсе. 
Үоџ сап аіѕо поќіѓу ће меБѕіќе' айтіпіѕігаќог аБоц Ње ргоЫет. 


Цеагп тоге... 


'Адуапсед... 


Кероц еггогѕ ШКе {115 {о һеір Мог (а 1ЧепИКу апа Боск тайсюи$ Кез 


Рис. 17.2. Попытка перехода к сайту 551 с сертификатом по умолчанию 
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3. Поскольку вы получаете доступ к сайту через браузер на локальном хосте, 
нажмите кнопку Адуапсеа (Дополнительно), а затем Мем (Просмотр), чтобы 
просмотреть сгенерированный сертификат. Сертификат включает в себя ваше 
имя хоста, информацию о том, когда он был выдан и когда истекает срок его 
действия, а также множество других сведений об организации. 


4. Нажмите кнопку Ассері {ће Віѕк апа Сопіпџие (Принять риск и продолжить), чтобы 
разрешить подключение к этому сайту. 


5. Закройте это окно, а затем выберите Сопйгт Ѕесигіќу Ехсеріоп (Добавить исклю- 
чение безопасности), чтобы принять соединение. После этого откроется ваша 
веб-страница по умолчанию, использующая протокол НТТР$. Отныне ваш 
браузер будет принимать НТТР$-соединения с веб-сервером с помощью этого 
сертификата и шифровать все сообщения между собой и сервером. 


Вы не хотите, чтобы ваш сайт отпугивал пользователей, поэтому стоит устано- 
вить для него действительный сертификат. Лучше всего создать самоподписанный 
сертификат, который по крайней мере содержит достоверную информацию о ваших 
сайте и организации. В следующем пункте рассказывается, как это сделать. 


Создание 55|-ключа 

и самоподписанного сертификата 

Чтобы начать настройку $51. и создать открытый и закрытый ключи, примените 
команду орепѕ51, которая является частью пакета орепѕ51. После этого сгенерируй- 


те самоподписанный сертификат, чтобы протестировать сайт или использовать его 
внутри частной системы. 


1. Если пакет орепѕѕ1 еще не установлен, сделайте это следующим образом: 


# уит 11$%а11 ореп$$1 


2. Сгенерируйте закрытый ключ 2048-61 В$А и сохраните его в файл: 


# са /еёс/ркі/+15/ргіма+е 
# ореп$$1 Бепгѕа -ои ѕегмег.Кеу 2048 
# сһтоа 600 $егуег.Кеу 


ПРИМЕЧАНИЕ 

Используйте имя файла, отличное от ѕегуег.Кеу, если планируете иметь на своем компьютере более одного 
59 -хоста (для чего требуется более одного ІР-адреса). В дальнейшем убедитесь, что указали правильное имя 
файла в конфигурации веб-сервера Араспе. 


В средах с более высоким уровнем безопасности используйте шифрование клю- 
ча, добавив аргумент -їеѕ3 после аргумента репг5а в командной строке ореп$$1. 
При появлении запроса на ввод ключевой фразы нажмите клавишу Епќег: 


# ореп$$1 Бепгѕа -4е$3 -оиї зегуег.Кеу 1024 
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3. Если не планируете подписывать сертификат или хотите протестировать 
настройки, создайте самоподписанный сертификат и сохраните его в файле 
зегуег . сг{ в каталоге /еёс/ркі/&15/сег+ѕ: 


# са /еёс/ркі/+15/сег+ѕ 
# орепѕ51 гед -пем -х509 -пойеѕ -ѕһа1 -Яауѕ 365 \ 

-Кеу /ес/ркі/+15/ргіма+е/ѕегмег.Кеу \ 

-оиї ѕегмег. сг 
Соипфгу Мате (2 1Іеї+ег сое) [АЦ]: $ 
Зфафе ог Ргоуіпсе Мате (+и11 пате) [Ѕ5оте-Ѕ%аёе]: № 
Госа1і+у Маме (ер, сі+у) [реғаи1+ Сі+у]: Ргіпсеёоп 
Ограпіға+іоп Мате (её, сотрапу) [Рефаи1+ Сотрапу 14 
І+а]:ТЕЅТ 9$Е ОМУ 
Ограпіғаіопа1 Цп1 Мате (её, ѕесіоп) []:ТЕЅТ У$Е ОМУ 
Соттоп Мате (её, УОЦК пате) []:ѕесиге.ехатр1е.оге 
Ета11 Аадгеѕѕ []:Яотдехатр1е.оге 


4. Отредактируйте файл /еёс/һ&ра/сопё. 1/551. соп#, чтобы изменить местопо- 
ложение ключа и сертификата на только что созданные, например: 


551СегііҒіса+еҒі1е /еїс/ркі/+%15/сегіѕ/ѕегуег.сгі 
551СегііҒісаеКеуЕі1е /ес/ркі/+15/ргіма+е/ѕегуег.Ккеу 


5. Перезапустите или перезагрузите службу Пера. 


6. Снова откройте Һірѕ://ІосаІћоѕЁ в локальном браузере и повторите процедуру 
проверки, приняв новый сертификат. 


Для внутреннего использования или тестирования подойдет и самоподписан- 
ный сертификат. Однако для общедоступных сайтов следует применять сертифи- 
кат, проверенный центром сертификации (СА). Далее описано, как это сделать. 


Создание запроса на получение сертификата 


Если вы планируете получить сертификат, подписанный центром сертификации 
(включая тот, который запускаете сами), используйте свой закрытый ключ для 
создания запроса на получение сертификата (СК). 


1. Создайте каталог, в котором будет храниться СЪЁК: 


# ткаіг /еёс/ркі/+15/551.сѕг 
# са /еёс/ркі/+15/551.с5г/ 


2. С помощью команды орепѕ51 сгенерируйте СЅК. В результате в текущем ката- 
логе будет создан СЅВ-файл с именем ѕегмег.сѕг. При вводе этой информации 
строка Соттоп Мате должна совпадать с именем, которое клиенты будут исполь- 
зовать для доступа к вашему серверу. Обязательно уточните остальные детали, 
чтобы проверить их сторонним СА. Кроме того, если вы задали кодовую фразу 
для своего ключа, необходимо ввести ее, чтобы применить ключ: 


# орепѕ51 гед -пем -Кеу ../рг1уафе/зегуег.Кеу -оиї ѕегуег.сѕг 


Соипфгу Мате (2 1Іеї+ег сое) [А0]:05 
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Зфафе ог Ргоуіпсе Мате (#011 пате) [ѕоте-Ѕ5%а+е]:Маѕһіпрёоп 
Іоса1і+у Мате (её, сі+у) []:Ве11іпрһат 

Огврапіға+іоп Мате (ев, сотрапу) [1п+егпе+ Міарііѕ Р+у 
14а] :Ехатр1е Сотрапу, ЕТО. 

Ограпіға+іопа1 пі Мате (её, ѕесёіоп) []:Мефмогк 
Орега{1оп$ 

Соттоп Мате (ер, ҮО0К пате) []:ѕесиге.ехатр1е.оге 

Етаі1 Аадгеѕѕ []:Яотдехатр1е.оге 


Р1еаѕе епфег һе Ғо110оміпр 'ехіга' аіёгіби+еѕ 
Фо Бе зепф міЁһ уоиг сегЕ11сафе гедиеѕ+ 

А сһа11епре раѕѕмога []: 

Ап ор{1опа1 сотрапу пате []: 


3. Перейдите на сайт выбранного центра подписи сертификатов и запросите под- 
пись для сертификата. Сайт СА, скорее всего, попросит вас скопировать содер- 
жимое своего СК (в данном примере файл зегуег. сзг) и вставить в форму. 


4. Когда СА отправит вам сертификат (возможно, по электронной почте), сохра- 
ните его в каталоге /еёс/ркі/&15/сегіѕ/, используя имя своего сайта, например, 
ехатріе.огд.сії. 


5. Измените значение 551 Сег{1+1сафеЕ11е в файле /еёс/һёёра/соп#.1/551.сопҒ 
и укажите новый СКТ-файл. Если у вас несколько хостов 551, можете создать 
отдельную запись (возможно, в отдельном файле .соп+), которая выглядит 
следующим образом: 


Ііѕеп 192.168.0.56:443 
<\М1гЕица1Но$* *:443> 


5егуегМате 5есиге.ехатрёе. ога 

5егуегА11а$ иеб.ехатр(е. ога 

БоситепКоо* /ћһоте/иѕегпате/риб1іс һ&т1/ 
01гесфогуТпаех іпӣех.рһр іпаех.һЕт1 1паех. Вт 
5$ЕЕпё1пе Оп 


$$ЕСег{1+1са*еКеуЕ11е /ес/ркі/+15/ргімае/ѕегуег.Кеу 
551Сегіі+Ғіса+еҒі1е /ефс/рк1/+1$/сегЕ$/ехатр1е. ога. сг* 
</\1гЕца1Но$*> 


ТР-адрес, показанный в директиве 115$+еп, следует заменить общедоступным 
ТР-адресом, представляющим обслуживаемый вами $51 -хост. Помните, что каж- 
дый $51-хост должен иметь собственный ІР-адрес. 


Диагностика веб-сервера 


В любой достаточно сложной среде всегда возникают проблемы. В следующих 
пунктах приведены советы по выявлению и устранению наиболее распространен- 
ных ошибок, с которыми вы можете столкнуться в ходе работы с веб-сервером. 
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Проверка ошибок конфигурации 


Вы можете столкнуться с ошибками конфигурации или проблемами в скриптах, 
которые мешают запуску веб-сервера Арасће или препятствуют доступу к опреде- 
ленным файлам. Большинство этих проблем можно обнаружить и решить с помо- 
щью двух инструментов, предоставляемых АрасВе: программы арасћһес+1 и журнала 
системных ошибок. 

При возникновении проблемы сначала используйте программу араспес+1 
с параметром соп+1в +еѕ+ для проверки конфигураций. На самом деле стоит взять 
за правило выполнять это действие и запускать программу каждый раз, когда вы 
изменяете настройки: 


# арасһес+1 соп+Ғір+еѕі 

бупфах ОК 

# арасһес+1 5гасе+и1 

/иѕг/ѕріп/арасһесё1 вгасефи1: Пра эгасефи11у геѕ+аг+еа 


В случае синтаксической ошибки программа арасһес+1 указывает, где она воз- 
никает, и делает все возможное, чтобы дать информацию о характере проблемы. 
Затем используйте параметр перезапуска ргасе+и1 (арасһес+1 вгасефи1), чтобы 
перезагрузить конфигурацию сервера АрасВе без отключения каких-либо активных 
клиентов. 


ПРИМЕЧАНИЕ 


Параметр перезапуска дгасеїи в программе арасћесії автоматически тестирует конфигурацию перед отправкой 
сигнала перезагрузки в арасће. Но все же стоит обзавестись привычкой вручную тестировать конфигурации веб- 
сервера. 


Некоторые из проблем конфигурации проходят синтаксические тесты про- 
граммы арасһес+1, но выводят демон һр из строя сразу же после перезагрузки его 
конфигурации. Если это произойдет, используйте команду +аі1, чтобы проверить 
журнал ошибок Арасћһе на наличие полезной информации. В системах Еейога 
и КНЕІ. журнал ошибок находится в файле /маг/106/һёёрӣ/еггог.10ов. Чтобы 
найти местоположение журнала ошибок в других системах, обратитесь к директиве 
Еггогіов в вашей конфигурации Арасће. 

Вы можете столкнуться с сообщением об ошибке, которое выглядит пример- 
но так: 


[сгі+] (98)Ааагеѕѕ а1геайу іп иѕе: таке ѕоск: сои1а поё 61па о рогі 89 


Эта ошибка указывает на то, что что-то еще соединено с портом 80, или дру- 
гой процесс Арасћһе уже запущен (арасһес+1 перехватывает эту информацию), 
или Арасћһе привязал один и тот же ІР-адрес и комбинацию портов в нескольких 
местах сразу. 
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Используйте команду пефзфа* для просмотра списка программ (включая 
Арасћһе) с ТСР-портами в состоянии ЕТ$ТЕМ: 


# пефзфае -п1Єр 

АсЕ1\уе Іпёегпе соппес&іопѕ (оп1у зегуег$) 

Ргофо Іоса1 Ааагеѕѕ Ғогеівп Аайагеѕѕ 5%афе РІР/Ргоргат пате 
фсрб :::80 Нан ІІЅТЕМ 2105/һ+ё+ра 


Выходные данные команды пеїѕёаї (в примере сокращены) показывают, что 
экземпляр процесса һ++ра с идентификатором процесса ТО 2105 прослушивает 
(как указано состоянием ЕТ$ТЕМ) соединения с любым локальным ІР-адресом 
(обозначен как :::89) на порте 80 (стандартный НТТР-порт). Если другая про- 
грамма прослушивает порт 80, она тоже отображается. Используйте команду К111 
для немедленного завершения процесса, но если дело в чем-то другом, для начала 
стоит выяснить причину. 

Если вы не видите никаких других процессов, прослушивающих порт 80, воз- 
можно, АрасВе по ошибке прослушивает одни и те же ІР-адрес и комбинацию 
портов в нескольких местах сразу. Чтобы это исправить, можно применить три 
директивы конфигурации — Віпадаагеѕѕ, Рогі и Е154еп. 


® Директива В1п9Адаге$$ позволяет указать один ІР-адрес для прослушивания 
или все ТР-адреса с помощью шаблона поиска (%ісага). В файле конфигура- 
ции не должно быть больше одного оператора Віпадддгеѕѕ. 


© Директива Рог+ указывает, на каком ТСР-порте следует прослушивать, но не по- 
зволяет указать ІР-адрес. Директива Рог, как правило, не применяется более 
одного раза в конфигурации. 


® Директива 115{еп позволяет указать как ІР-адрес, так и порт для привязки. 
ТР-адрес может представлять собой шаблон поиска, и в файле конфигурации 
могут находиться несколько операторов 115%еп. 


Чтобы избежать путаницы, стоит задействовать только одну из этих директив. 
Из трех вариантов Е15*еп наиболее гибкая, поэтому, вероятно, с ней вы будете ра- 
ботать чаще всего. Распространенная ошибка при использовании директивы Е15%еп 
заключается в том, что указание порта на всех ГР-адресах (*: 80) и того же порта на 
определенном ТР-адресе (1.2.3.4:8@) вызывает ошибку таке _ѕоск. 

Ошибки конфигурации, связанные с З5Т., обычно приводят к неправильному за- 
пуску веб-сервера АрасВе. Убедитесь, что все файлы ключей и сертификатов суще- 
ствуют и имеют правильный формат (проверяйте их с помощью команды ореп$$1). 

Получив другие сообщения об ошибках, попробуйте узнать в Интернете, 
не сталкивался ли кто-то еще с подобной проблемой. В большинстве случаев ре- 
шение можно найти в нескольких первых ссылках в поиске. 

Если в директиве ЕггогГор недостаточно информации, настройте ее для реги- 
страции дополнительной информации с помощью директивы іовіеме1. Параметры, 
доступные для нее: етег$, а1егі, сгі+, еггог, магп, поёісе, іп+о и ӣебиє. Выберите 
только один из них. 
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Любое сообщение, такое же важное, как и выбранный іоріехе1, хранится 
в Еггогі ов. На обычном сервере Гортеуе1 имеет значение магп. Не нужно устанав- 
ливать его на любое значение ниже сг1+, а также оставлять его со значением дерив, 
так как это может замедлить работу сервера и увеличить файл ЕггогГов. 

В крайнем случае попробуйте запустить службу Пера -Х вручную, чтобы про- 
верить наличие сбоев или других сообщений об ошибках. Параметр -Х запускает 
службу НЕЕра так, чтобы она выводила на экран сообщения отладки и более высо- 
кого уровня. 


Запрещенный доступ и внутренние ошибки сервера 


Два распространенных типа ошибок, с которыми можно столкнуться при просмо- 
тре определенных страниц на вашем сервере, — это ошибки прав доступа и вну- 
тренние ошибки сервера. Оба типа ошибок обычно можно выявить, используя 
информацию в журнале ошибок. После внесения любых изменений, описанных 
в списке далее, для решения одной из этих проблем повторите попытку запроса 
и проверьте журнал ошибок, чтобы увидеть, изменилось ли сообщение (например, 
чтобы увидеть, что операция успешно завершена). 


ПРИМЕЧАНИЕ 


Ошибки типа Ее пої ѓоипа (Файл не найден) можно проверить так же, как и ошибки Ассеѕѕ ѓогідаеп (Доступ 
запрещен) и Ѕегуег іпќегпа! еггогѕ (Внутренние ошибки сервера). Вы можете обнаружить, что веб-сервер Араспе 
ищет конкретный файл не там, где нужно. Как правило, весь путь к файлу отображается в журнале ошибок. Убеди- 
тесь, что используете правильный виртуальный хост, и проверьте все настройки параметра Аїїаѕ, которые могут 
изменить направление поиска. 


® Права файлов. Ошибка Ейе регтіѕѕіопѕ ргемепЕ ассеѕѕ (Права файлов запрещают 
доступ) указывает на то, что процесс арасћһе работает от имени пользователя, 
который не может открыть запрошенный файл. По умолчанию служба НЕЕра 
запускается пользователем и группой Арасће. Убедитесь, что у учетной записи 
есть права на выполнение каталога и всех каталогов более высокого уровня, 
а также права на чтение самих файлов. Права на чтение каталога необходимы 
и в том случае, если вы хотите, чтобы АрасВе генерировал индексы файлов. 
Дополнительные сведения о том, как просматривать и изменять права, см. на 
странице руководства команды сһтоа. 


ПРИМЕЧАНИЕ 


Права на чтение не требуются для скомпилированных двоичных файлов, например написанных на языках Си С++, 
но иих можно добавлять на сервер, если нет необходимости хранить содержимое программы в секрете. 
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® Доступ запрещен. Ошибка Сііепё депіеа Бу ѕегуег сопйдигаНоп (Доступ клиента 
запрещен конфигурацией сервера) указывает на то, что веб-сервер Арасће на- 
строен на отказ в доступе к файлу. Проверьте разделы іосаё+іоп и рігесёогу, 
которые могли повлиять на файл, в доступе к которому отказано. Помните, что 
настройки пути применяются и к любым путям низшего уровня. Вы можете 
переопределить их, изменив права только для конкретного пути, к которому 
хотите разрешить доступ. 


® Индекс не найден. Ошибка Оігесіогу іпдех ѓогріддеп Бу гие (Индекс каталога 
запрещен правилами) указывает на то, что веб-сервер Арасће не смог найти 
индексный файл с именем, указанным в директиве 01гесфогуТпаех, и не будет 
создавать индекс, содержащий список файлов в каталоге. Убедитесь, что ин- 
дексная страница, если она у вас есть, имеет одно из имен, указанных в соот- 
ветствующей директиве рігестогуІпаех, или добавьте строку Орїіопѕ Тпдехез 
в соответствующий раздел каталога или местоположения для нее. 


® Ошибка скрипта. Ошибка Ргетаиге епа оѓ ѕсгірё Һеааегѕ (Преждевременное за- 
вершение заголовков скрипта) может указывать на сбой скрипта до его завер- 
шения. Иногда подобные ошибки появляются и в журнале ошибок. При исполь- 
зовании команд ѕиехес или ѕиРНР она может быть вызвана ошибкой с владением 
файлом или правами доступа. Такие ошибки появляются в файлах журналов 
в каталоге /маг/10в/һі+ра. 


® Ошибки ЗЕГлпих. Если права доступа к файлам открыты, но в файлах жур- 
налов появляются сообщения об отказе в доступе, то причиной проблемы 
может быть ЗЕГлпих. Временно установите ЗЕТлпах в разрешительный режим 
(зефепфогсе ё) и снова попробуйте получить доступ к файлу. Если файл теперь 
доступен, вновь установите ЗЕГлпих в принудительный режим (ѕеёепҒогсе 1) 
и проверьте контексты файлов и логические типы. Контексты файлов должны 
быть указаны правильно, чтобы служба НЕЕра могла получить доступ к файлу. 
Логические типы могут препятствовать обслуживанию файла из удаленно 
смонтированного каталога, или отправке страницы по электронной почте, или 
загрузке файла. Введите команду һеєра_ѕе1іпих для получения подробной 
информации о параметрах конфигурации $Е11іпих, связанных со службами 
пера. (Установите пакет ѕе1іпих-ро1ісу-аеме1, чтобы добавить эту справочную 
страницу в свою систему.) 


Резюме 


Проект АрасВе с открытым исходным кодом — это самый популярный веб-сервер 
в мире. Хотя он невероятно гибок, безопасен и сложен, базовый веб-сервер АрасВе 
можно настроить всего за несколько минут в Еейога, КНЕТІ. и большинстве других 
дистрибутивов Глпих. 

В этой главе описаны шаги по установке, настройке, защите и устранению не- 
поладок базового веб-сервера Арасће. Вы узнали, как настроить виртуальный хо- 
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стинг и защитить $5Г.-хосты. Прочитали, как настроить веб-сервер Арасће, чтобы 
позволить любой учетной записи пользователя в системе публиковать содержимое 
из собственного каталога риб1іс_ һёт1. 

Продолжая тему конфигурации сервера, в главе 18 «Настройка ЕТР-сервера» 
я расскажу, как настроить ЕТР-сервер в системе Глпих. В приведенных примерах 
будет показано, как сделать это с помощью пакета уѕ#+ра. 


Упражнения 


Упражнения, приведенные далее, охватывают темы, связанные с установкой и на- 
стройкой веб-сервера Арасће. Как обычно, я рекомендую использовать отдельную 
систему Еейога или Кеа На Егѓегргіѕе Ііпих для их выполнения. Не выполняйте 
их на рабочем компьютере, так как они изменяют файлы конфигурации Арасће 
и служб и могут повредить уже настроенные службы. Примените для тренировки 
виртуальную машину или другой компьютер. 

Предполагается, что при выполнении упражнений вы начнете с установки си- 
стемы Еедога или ВНЕТ, на которой еще нет сервера Арасћһе (пакет Вера). 

Если затрудняетесь с решением заданий, воспользуйтесь ответами к ним, 
приведенными в приложении Б (хотя Мпих позволяет решать задачи разными 
способами). 


1. Из системы Еейога установите все пакеты, связанные с группой Ваѕіс еб 
Ѕегүег. 


2. Создайте файл с именем іпӣех.һёт1 в каталоге, назначенном директивой 
Ооситеп&Коо+ в главном файле конфигурации Арасће. В файле должна быть 
фраза Му Омп Ме $егуег. 


3. Запустите веб-сервер АрасВе и настройте его на автоматический запуск во 
время загрузки. Убедитесь, что он доступен из браузера на вашем локальном 
хосте. (Если он работает правильно, вы увидите фразу: Му Омп Мер 5егуег.) 


4. Используйте команду пет+а*, чтобы увидеть, на каких портах прослушивается 
һєра-сервер. 

5. Попробуйте подключиться к веб-серверу Арасће из браузера, находящегося за 
пределами локальной системы. Если это не удается, исправьте все появившие- 
ся проблемы, изучив настройки межсетевого экрана (брандмауэра), ЗЕТлпих 
и других функций безопасности. 


6. С помощью команды ореп5$1 или аналогичной создайте собственный закрытый 
ключ КЅА и самоподписанный 55Г.-сертификат. 


7. Настройте веб-сервер АрасВе так, чтобы он использовал ваши ключ и самопод- 
писанный сертификат для обслуживания защищенного содержимого (НТТР5). 


8. Используйте браузер, чтобы создать НТТР$-соединение со своим веб-сервером 
и просмотреть содержимое созданного вами сертификата. 
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10. 


Создайте файл с именем /еёс/һ+ёра/соп#.ӣ/ехатр1е.ога.соп#, который вклю- 
чает виртуальный хостинг на основе имен и создает виртуальный хост, который 
должен: 


= прослушивать все интерфейсы на порте 80; 

" иметь администратора сервера јое@ехатр1е.оге; 

= иметь имя сервера јое@ехатр1е.оге; 

= иметь директиву БоситепВоотф в каталоге /уаг/мимм/Н%т1/ехатр1е.ог&; 


= иметь директиву О1гесфогуТпаех, которая включает в себя как минимум 
файл іпаех. һ+т1. 


В каталоге роситеп&Коо+ создайте файл Тпдех. п т1, содержащий фразу: Ме1соте 
{о +һе Ноиѕе о+ Зое. Добавьте текст јое.ехатр1е.оге в конец строки 1оса1по$* 
в файле /еёс/һоѕѕ на компьютере, на котором запущен веб-сервер. Затем вве- 
дите в браузере јое .ехатр1е .огр. На первой странице вы должны увидеть фразу 
Ме1соте фо {Пе Ноцзе оф Јое. 


Настройка 
ЕТР-сервера 


В этой главе 


и Как работает сервер ҒТР. 

ш Установка пакета уѕ+#&ра. 

ш Настройки безопасности в пакете уѕ#+ра. 

ш Настройка файлов конфигурации в пакете уѕ+#&ра. 
ш Запуск клиентов сервера ҒТР. 


Протокол передачи файлов (ЕПе Тгапзег Ргоѓосо!, ЕТР) — один из старейших 
протоколов обмена файлами по сетям. Несмотря на то что существуют более без- 
опасные протоколы для передачи файлов по сети, ЕТР по-прежнему довольно часто 
используется, обеспечивая свободный доступ к файлам в Интернете. 

Сейчас в системах Глпих доступны несколько проектов ЕТР-серверов. Однако 
чаще всего с Еейога, Кеа Наб Епќегргіѕе Глпих, Се О$, ОБипёи и другими дистри- 
бутивами Глпих применяется безопасный демон ЕТР (пакет уѕ#єра). В этой главе 
рассказывается, как установить, настроить, использовать и защитить ЕТР-сервер 
с помощью пакета м$Ера. 


Сервер ЕТР 


Протокол ЕТР задействует модель «клиент/сервер». Демон ЕТР-сервера прослу- 
шивает входящие запросы (через ТСР-порт 21) от ЕТР-клиентов. Клиент предъ- 
являет логин и пароль. Если сервер принимает эту информацию, клиент может 
перемещаться по файловой системе, перечислять файлы и каталоги и загружать 
файлы. 

Небезопасным ЕТР делает то, что между ЕТР-клиентом и сервером все переда- 
ется открытым текстом. Этот протокол был создан в то время, когда большинство 
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компьютерных коммуникаций осуществлялось по частным линиям или комму- 
тируемому каналу, в шифровании которых не было необходимости. Если вы ис- 
пользуете сервер ЕТР через общедоступную сеть, в любом месте между клиентом 
и сервером злоумышленник сможет увидеть не только передаваемые данные, но 
и данные аутентификации (информацию о логине и пароле). 

Таким образом, сервер ЕТР не подходит для частного обмена файлами (исполь- 
зуйте 55Н-команды, такие как $ р, ѕср или гзупс, чтобы зашифровать частную 
передачу файлов). Но если вы делитесь общедоступными документами, репози- 
ториями программного обеспечения с открытым исходным кодом или другими 
данными, сервер ЕТР отлично подойдет. Независимо от операционной системы, 
которую применяют другие пользователи, у них будет приложение для получения 
файлов ЕТР с вашего ЕТР-сервера. 

Когда пользователи проходят аутентификацию на ЕТР-сервере в іпих, их 
имена и пароли проверяются на соответствие стандартным учетным записям и па- 
ролям в іпих. Существует также специальная неаутентифицированная учетная 
запись апопутоиѕ для ЕТР-сервера. Доступ к анонимной учетной записи может 
получить любой желающий, поскольку для нее не требуется пароль. На самом деле 
термин «анонимный ЕТР-сервер» часто используется для описания общедоступного 
ЕТР-сервера, который не требует аутентификации с помощью учетной записи или 
даже не разрешает ее. 


ПРИМЕЧАНИЕ 


Возможность входа на сервер у5Нра с помощью обычной учетной записи пользователя пих включена по умол- 
чанию в системах Еедога и Вед Наї Епќегргіѕе Ипих, но, если система 5ЕМпих установлена в принудительный ре- 
жим, она предотвращает вход и передачу файлов. Чтобы сохранить 5ЕИпих в принудительном режиме, но по- 
прежнему разрешать вход, измените логические типы (см. раздел «Настройка 5ЕЦпих для ЕТР-сервера» далее 
в этой главе). 


После аутентификации (на управляющем порте ТСР 21) между клиентом 
и сервером устанавливается второе соединение. ЕТР поддерживает как активные, 
так и пассивные типы соединений. При активном ЕТР-соединении сервер отправ- 
ляет данные со своего порта ТСР 20 на какой-то случайный порт, номер которого 
выбирает выше порта 1023 на клиенте. При пассивном ЕТР-соединении клиент 
запрашивает пассивное соединение, а затем случайный порт у сервера. 

Многие браузеры поддерживают пассивный режим ЕТР, поэтому, если у кли- 
ента есть брандмауэр (межсетевой экран), он не блокирует порт данных, который 
ЕТР-сервер может использовать в активном режиме. Поддержка пассивного ре- 
жима требует дополнительной настройки брандмауэра сервера, которая разрешит 
случайные подключения к портам выше 1023-го на сервере. В разделе «Настройка 
брандмауэра для ЕТР-сервера» далее в этой главе описывается, что нужно сделать 
с брандмауэром Глпих, чтобы заставить работать как пассивные, так и активные 
ЕТР-соединения. 

После установки соединения между клиентом и сервером устанавливается те- 
кущий каталог клиента. Для анонимного пользователя каталог /маг/ єр является 
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домашним каталогом в системах Еейога или ВНЕГ, а /ѕгу/#Ер — в системе ОЬипёи 
и большинстве дистрибутивов на базе Ое ап. Анонимный пользователь не может 
выйти за пределы структуры каталогов /маг/#&р. Если обычный пользователь, 
скажем, јое, входит на ЕТР-сервер, то /һоте/јое — это его текущий каталог, но он 
может перейти в любую часть файловой системы, права на которые у него есть. 

Командно-ориентированные ЕТР-клиенты (например, команды 1+%р и +%р) 
переходят в интерактивный режим после подключения к серверу. Из командной 
строки можете запустить множество команд, похожих на те, которые вы исполь- 
зовали в оболочке. Можно задействовать команду рма, чтобы увидеть текущий ка- 
талог, 15, чтобы просмотреть содержимое каталога, и са, чтобы изменить каталоги. 
Когда вы увидите нужный файл, примените команды ве* и ри* для загрузки файлов 
с сервера или на сервер соответственно. 

Используя графические инструменты для доступа к ЕТР-серверам (например, 
браузер), введите ОВГ-адрес сайта, на который хотите перейти (допустим, #р:// 
40с5.ехатре.сот). Если не вводить имя пользователя и пароль, то будет установле- 
но анонимное соединение и отобразится содержимое домашнего каталога сайта. 
Щелкните на ссылках с каталогами, чтобы перейти к ним. Нажмите на ссылки 
с файлами, чтобы отобразить или загрузить эти файлы в локальную систему. 

Поняв, как работает сервер ЕТР, можно приступить к установке ЕТР-сервера 
(пакет м5 ра) в своей системе Гіпих. 


Установка сервера ҒТР с помощью пакета уѕЁра 


Для настройки безопасного ЕТР-сервера в Еедога, КНЕТ. и других дистрибутивах 
Тіпих требуется только один пакет — уѕ#+ра. Если у вас есть доступ к репозиторию 
программного обеспечения Еейога или КНЕГ, просто введите следующую команду 
от имени суперпользователя, чтобы установить ура: 


# ушт іпѕъа11 м$Ера 


Если вы работаете с дистрибутивом ОЪипќи (или другим дистрибутивом Глпих, 
основанным на ОеЫап), для установки уѕ#+ра введите следующее: 


$ зи4о арі-реї іпѕ+а11 мѕ5ҒЕра 


Далее представлен пример команд, которые можно запустить после установки 
пакета уѕ#ера, чтобы ознакомиться с его содержимым. Из дистрибутива Еейога или 
КНЕТ выполните следующую команду: 


# грт -а1 уѕ++ра 


РасКавег : Редога Ргојес+ 


\Мепдог : Редога Ргојес+ 
ЦВЕ : ИЕЕр$://зесиг1 у . аррзро* . сот/м$Е+ра. пт1 
5иттагу : \Уегу 5$есиге Ер раетоп 


Рреѕсгірііоп : \$+РЕра 1$ а Мегу Ѕесиге ЕТР даетоп. ІЁ маѕ мг1 еп 
сотр1ефе1у Ғгот ѕсга+сһ. 
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Если хотите получить более подробную информацию о пакете мера, перейдите 
на сайт ѕесигіїу.аррѕрої.сот/уѕћра.Мті. Здесь есть также дополнительная документа- 
ция и информация о последних версиях м5Ера. 

С помощью команд можно просмотреть полное содержимое пакета м5 ра (грт- 
91 узЕра), только файлы документации (-44) или файлы конфигурации (-ас). 
Для просмотра файлов документации используйте следующую команду: 

# грт -а4 ура 
/иѕг/ѕһаге/аос/мѕҒЕра/ ЕХАМРІЕ/ІМТЕКМЕТ ЅІТЕ/КЕАРМЕ 


/иѕг/ѕһаге/аос/мѕҒЕра/ ЕХАМРІЕ/РЕК ІР СОМЕІС/ КЕАРМЕ 


/иѕг/ѕһаге/аос/мѕҒЕра/ ЕХАМРІЕ/МІКТОАІ НОЅТЅ/ КЕАРМЕ 
/иѕг/ѕһаге/аос/мѕҒЕра/ ЕХАМРІЕ/МІКТОАІ ОЅЕКЅ/ КЕАРМЕ 


/иѕг/ѕһаге/аос/мѕҒЕра/ғАО 


/иѕг/ѕһаге/аос/мѕҒЕра/уѕҒёра.хіпе+а 
/иѕг/ѕһаге/тап/тап5 /м5#Ера. сопғҒ.5.р2 
/иѕг/ѕһаге/тап/тап8/мѕ#ра.8.р2 


В структуру каталогов /иѕг/ѕһаге/ аос/уѕ#ера/ ЕХАМРІЕ включены примеры 
файлов конфигурации, которые помогут настроить пакет уѕ#ера способами, под- 
ходящими для интернет-сайта, сайта с несколькими ІР-адресами и виртуальных 
хостов. Основной каталог /изг/Ппаге/дос/м$ ера содержит ЕАО (часто задаваемые 
вопросы), советы по установке и информацию о версии. 

На справочных страницах пакета узЕра, возможно, найдется самая полезная 
информация о настройке сервера. Введите команду тап \$ ра. соп+, чтобы про- 
читать о файле конфигурации, и тап уѕ#+ра, чтобы прочитать о процессе демона 
и о том, как управлять им в качестве службы ѕуѕета. 

Чтобы перечислить файлы конфигурации, введите следующее: 

# грт -ас мѕ#&ра 
/ефс/1овгофаже. а/м ЕЕра 
/еёс/рат.а/мѕҒ&ра 
/еёс/мѕ#6ра/Ғёриѕегѕ 
/еёс/мѕ#ера/иѕег_ 115+ 
/еёс/мѕ#ера/мѕ+&ра. соп# 


Главный файл конфигурации — это /еёс/уѕ#ра/уѕ#ера.соп (в КНЕГ и Еейога) 
и /еёс/уѕ ра. соп (в ОБипе). Файлы #ериѕегѕ и изег_11$* (в Еейога и ВНЕТ, но 
не в ОБипел) в одном каталоге хранят информацию об учетных записях пользова- 
телей, которым ограничен доступ к серверу. Файл /еёс/рат. й/уѕ#+ра задает способ 
аутентификации на ЕТР-сервере. Файл /ес/1овгобаїе.а/уѕҒ+ра настраивает 
способ ротации файлов журналов с течением времени. 

Вы установили пакет уѕ#&ра и быстро ознакомились с его содержимым. Следу- 
ющий шаг — запустить и протестировать службу ира. 
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Запуск службы ура 


Для запуска службы уѕ#+ра не требуется никаких настроек, если вам подходят 
настройки по умолчанию. Запустив службу м$+ ра с настройками по умолчанию 
в дистрибутиве Еедога, вы получите следующее. 


Служба из Ера запускает демон мзЕра, который работает в фоновом режиме. 


Стандартный порт, который демон м$+Ера прослушивает, — это порт ТСР 21. 
По умолчанию данные передаются пользователю после установки соединения 
через порт ТСР 20. Порт ТСР 21 должен быть открыт в брандмауэре, чтобы 
новые соединения получили доступ к службе. По умолчанию доступны как 
ТРу4-, так и ГРуб-соединения. Эта процедура изменяется на службу ТСР 
ГРу4. (См. раздел «Защита ЕТР-сервера» далее в этой главе, чтобы получить 
подробную информацию об открытии портов, отслеживании соединений, 
необходимых для пассивного ЕТР, и настройке других правил брандмауэра, 
связанных с ЕТР.) 


Демон уѕ#+ра считывает файл м5 Ера.соп+, чтобы определить, какие функции 
служба разрешает. 


Учетные записи пользователей Глпих (за исключением администраторов) мо- 
гут получить доступ к ЕТР-серверу. Можно подключить анонимную учетную 
запись пользователя (пароль не требуется). (Если $Е1пих находится в при- 
нудительном режиме, вам нужно установить логический тип, чтобы разрешить 
обычным пользователям входить на ЕТР-сервер. Подробнее см. раздел «Защита 
ЕТР-сервера».) 

Анонимный пользователь имеет доступ только к каталогу /уаг/+р и его под- 
каталогам. Обычный пользователь в качестве текущего каталога применяет 
свой домашний каталог, но может получить доступ к любому доступному ка- 
талогу через обычный логин или сеанс $$Н. Списки пользователей в файлах 
/еёс/мѕ+ҒЕра/иѕег_1151 и /еёс/мѕҒЕра/Ғёриѕегѕ определяют администраторов 
и специальных пользователей, которые не имеют доступа к ЕТР-серверу (гоо, 
біп, даетоп и др.). 

По умолчанию анонимный пользователь может загружать файлы с сервера, но 
не загружать их в сервер. Обычный пользователь может загружать или скачи- 
вать файлы, основываясь на обычных правах іпих. 


Сообщения журнала с деталями загрузки файлов записываются в файл /маг/ 
106/хҒег10в5. Эти сообщения хранятся в стандартном формате х+ег1ов. 


Чтобы запустить сервер, используя описанные настройки по умолчанию, сле- 


дуйте приведенной далее инструкции. Если вы хотите сначала изменить допол- 
нительные настройки, перейдите в раздел «Настройка ЕТР-сервера» далее в этой 
главе, завершите настройку параметров, а затем вернитесь к инструкции. 
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1. Проверьте службу уѕ#єра. Прежде чем запустить службу уѕ#єра, посмотрите, 
не работает ли она. В системе Еейога или Ве Наї Епбегри1зе Піпих 7 или 8 вы- 
полните следующее: 


# зузфетсЕ1 эфафиз м$4Ера. зегу1се 

УР Ера. зегу1се — \/5РЕра РЕр даетоп 
Іоаеа: 1Іоааеа (/ч$г/116/зу+ета/зузЕет/м$Ера. егу1се; аіѕаБ1еа) 
Асііуе: іпас+іуе (4еаа) 


В дистрибутиве Вей Нас Епѓегргіѕе Глпах 6, чтобы увидеть ту же информацию, 
нужны две команды: 


# зегу1се уѕ+Ғ+ра ѕ+а+иѕ 

У5РЕра 1$ ѕіорреа 

# сһксопҒіе --11$% узфРЕра 

У5ЕЕра 9:о++ 1:о0++ 2:04 З:ОоҒҒ 4:04 5:04 6:0 


В приведенных примерах команды ѕегуісе, сНксоп+1в и ѕуѕёетс1 отображают 
состояние службы — ѕ+орреа. Видно также, что она совсем отключена (в Еейога 
и ВНЕЕ 7 или 8) и выключена на каждом уровне запуска (в КНЕ 6). Значе- 
ние о++ означает, что служба не будет включаться автоматически при запуске 
системы. 


2. Чтобы запустить и включить службу ира в дистрибутиве Ее4ога или ВНЕГ.7 
или 8 (и проверить состояние), введите следующее: 


# зузфетсЕ1 зфагЕ уѕ++ра. ѕегмісе 
# зузфетсЕ1 епаб1е \м$+Ера. ѕегуісе 
Іп -5 '/116/зузета/ зузет/м$РЕра. ѕегуісе' 
'/е+с/ ѕуѕ+ета/ ѕуѕёет/ти1+1-иѕег. агре. мапёѕ /м$ЕЕра. ѕегуісе' 
# зузфетсЕ1 эфафи$ м$4Ера. зегу1се 
м5 Ера.зегу1се — \/5РЕра РЕр даетоп 
Іоайеа: 1оааеа (/ч5г/116/зу$+ета/зузЕет/м$ЕЕра. ѕегуісе; 
епаб1еа уепдог ргеѕеї: аіѕаБЬ1еа)) 
Асііуе: асЕ1уе (гиппіпв) ѕіпсе Шей, 2019-09-18 00:09:54 Ерт; 225 
аво 
Маіп РТО: 4229 (у5+&ра) 
Таѕкѕ: 1 (1іті+: 12232) 
Метогу: 536.0К 
Сбгоир: /зу$%ет. $11се/м$Ера. ѕегуісе 
С 4229 /иѕг/ѕріп/уѕҒЕра /еёс/уѕЕёра/уѕ+Ера. сопЕ 


В дистрибутиве Кеа Наё Ещегризе Глпих 6 запустите и включите (оп) службу 
м5 ра (затем проверьте состояние) следующим образом: 


# зегу1се үѕ+Ғ1ра ѕ+агі 


ЗфагЕ1пв у$РЕра Фог мѕ++ра: Гок ] 
# сһксопғіє у$РЕра оп ; сһксопҒір --11$% узЕра 
Ура 9: о 1: оЕЕ 2:0п З:оп 4:0п 5:0п 6: о 


3. Теперь в любой системе проверьте, работает ли служба, используя команду пеёѕаїќ: 


# пефзфаф -+ир1п | вгер уѕҒЕра 
{ср 090 0 0.0.0.0:21 0.0.0.0:* ЕТЗТЕМ 4229/\у5$ЕЕра 
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Из выходных данных команды пе*${а* видно, что процесс уѕҒёра (идентифи- 
катор процесса ТО 4229) прослушивает (ЕТ$ТЕМ) все ІР-адреса для входящих 
соединений на порте 21 (0.0.0.0:21) для протокола ТСР (&ср). 


4. Быстрый способ проверить, что служба уѕ+#єра работает, — это поместить файл 
в каталог /маг/#єр и попытаться открыть его из вашего браузера на локальном 
хосте: 


# есһо "Не110о Егот Үоиг ЕТР Ѕегмег" > /маг/ҒЕр/һе110.1х+ 


В браузере локальной системы (в браузере Еігеѓох или другом) введите следу- 
ющий адрес: 


р: //1оса1һћоѕ+/һе110.1х+ 


Если в браузере появляется текст Нећо Егот Үоиг ҒТР Ѕегуег, значит, сервер уѕ#ера 
работает и доступен из вашей локальной системы. Затем подключитесь из браузера 
в другой системе, заменив 1оса1по$* ІР-адресом вашего хоста или полным именем 
хоста. 

Если это сработает, сервер уѕ#+ера станет общедоступным. Если нет, что вполне 
возможно, прочитайте раздел «Защита ЕТР-сервера». В нем рассказывается, как 
открыть брандмауэры и изменить другие функции безопасности, чтобы разрешить 
доступ и иным способом защитить ваш ЕТР-сервер. 


Защита ЕТР-сервера 


Несмотря на то что запустить ЕТР-сервер м$+%ра легко, это не означает, что он 
сразу же будет полностью доступен. Если в вашей системе есть брандмауэр, он, 
вероятно, заблокирует доступ ко всем службам в системе, за исключением тех, 
которые были разрешены вручную. 

Если вы решите, что настройка службы уѕ#+ра по умолчанию (описана в преды- 
дущем разделе) вам подходит, то можете просто настроить брандмаэур, разрешив 
доступ и обеспечив безопасность для службы уѕ#+ра. В следующих разделах мы 
рассмотрим, как настроить брандмауэр и ЗЕТлпах (логические типы и файловые 
контексты), чтобы защитить сервер уѕ#єра. 


Настройка брандмауэра для ЕТР-сервера 


Если в системе есть брандмауэр, необходимо установить для него правила, которые 
разрешают входящие запросы на ЕТР-сервер и позволяют пакетам возвращаться 
в систему по установленным соединениям. Брандмауэры реализуются с использо- 
ванием правил 1рфаб1е$ и управляются с помощью службы 1реаб1ез или Ғігена114 
(подробнее о службах брандмауэра см. главу 25 «Защита Глпих в Сети»). 

В дистрибутивах Еедога и Кеа Нас Ерѓегргіѕе Глпих правила брандмауэра 
традиционно хранятся в файле /еёс/ѕуѕсопҒів/ір+ар1еѕ, а базовая служба — это 
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1реаб1ез (в КНЕТ. 6) и ір+ађ1еѕ.ѕегуісе (в Еейога). Модули загружаются в бранд- 
мауэр из файла /еєс/ ѕуѕсопҒїв/ірёаБ1еѕ-сопғів. В системах КНЕТІ. 7 и Еейога 21 
или более поздних версиях новая служба Ғігена11а управляет правилами, а сами 
они хранятся в каталоге /еёс/Ғігема114/ 20пеѕ. 


ПРИМЕЧАНИЕ 


Работать с брандмауэром лучше всего непосредственно из системной консоли, а не через удаленный вход (на- 
пример, спомощью $51), потому что одна небольшая ошибка может немедленно отрезать васот вашего сервера. 
После этого нужно будет переходить к консоли, чтобы вернуться на сервер и устранить проблему. Добавьте пра- 
вила для брандмауэра, чтобы он разрешал доступ к ЕТР-серверу, не открывая доступ к другим службам. Сначала 
нужно разрешить вашей системе принимать запросы на ТСР-порт 21, затем убедиться, что модуль отслеживания 
соединений загружен. 


В системах ВНЕГ.7 и Еедога 20 или более поздних версиях можно использовать 
окно Ргема! Сопйдигайоп (Конфигурации брандмауэра), чтобы включить брандмауэр 
и открыть доступ к службе ЕТР. Установите пакет Ғігема11-сопғіє и запустите 
команду Ғігена11-сопғів, чтобы открыть окно Вгема! Сопйдигайоп (Конфигурации 
брандмауэра) (рис. 18.1). 


Агемиа СопЯдигаЧоп х 
Ее Орйопѕ Мем Нер 
у Асійме Віпаїпдѕ СопйдигаНоп: Реппапепї ~ 
Соппесвоп5 2опеѕ  егисез  1Р5ей5 
мігого (уігогО) Р 
Оеѓаші 2опе: риЫіс А тему ЦЗ топе дейпез {пе Іеме! оѓ їгиѕї ѓог пеїууогк соппесйопз, іпіегѓасеѕ апа зоигсе абдгеѕѕеѕ Боипд {о {Пе гопе, Тһе 
еп5З (еп53) топе сотЫпез ѕегуісеѕ, рогі, ргоосо{$, пазиега@ тд, рой/раскеї ѓогуғагаїпд, істр б1ќегѕ апа гісћ пез. Тһе гопе сап Бе 
Оеѓаці 2опе: рус Боипд то іпќегѓасеѕ апа зоигсе адгеззез. 
1Іпќегѓасеѕ | | 
Моск < бегуісеѕ Рогіѕ Ргоќосоіѕ Ѕоџгсе Рогіѕ Маѕдиегадіпд » 
Зоигсе$ бт2 == 
в Неге уои сап деЙпе уісћ ѕегуісеѕ аге \ги5{ед іп {ће гопе. Тгиз{ед ѕегуісеѕ аге ассезяЫе 
гор {гот ац №0515 апа пебмоѕ аї сап геасћ ће гпасһіпе {гоп соппесйопѕ, іпіегѓасеѕ апі 
ехїегпаі ѕоџгсеѕ Боџпа {о {ВБ 2опе. 
һоте Ѕегуісе 
іпќегпа! М пр 
БМ“ С) чапда-сйепе 
[рос Се 
1тиѕќед О % 
МК О е 
С) нюв-амайа5ииу 
О мр 
О вар; 
О ітар 
Сһапде 2опе Е Е] ы 8 і 1А... НОА рН 


СоппесНоп {о ЁгемаЦа еѕѓаЫіѕһед. 
СОеѓаџшіќ 2опе: руб 109 Оепіеа: ой Рапіс Моде: бїѕаЫед Аџќотайс Не\регз: ѕуѕќег (ой) оском: біѕаЦед 


Рис. 18.1. Откройте доступ к ЕТР-службе в окне Ргема! Сопёідигайоп (Конфигурации 
брандмауэра) 
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Чтобы открыть постоянный доступ к ЕТР-службе, щелкните на поле Сопйдигавоп 
(Конфигурация) и выберите вариант Регтапепё (Постоянная). Затем установите фла- 
жок йр на вкладке Ѕегуісеѕ (Службы). В брандмауэре автоматически откроется ТСР- 
порт 21 (ЕТР) и загрузит модули ядра, необходимые для обеспечения доступа к пас- 
сивной службе ЕТР. Выберите Оріопѕ » Веіоаа Ғігемаіа (Параметры » Перезагрузить 
ЕігежаПа), чтобы раз и навсегда применить правило брандмауэра. 

Для КНЕТ. 6 и более ранних систем добавьте правила непосредственно в файл 
/еёс/ѕуѕсопҒів/ір+аь1еѕ. Если вы используете брандмауэр с настройками по 
умолчанию, первые правила открывают доступ к запросам на любые службы, по- 
ступающие с локального хоста, и позволяют получать пакеты, связанные с установ- 
ленными соединениями или относящиеся к ним. В середине находятся правила, 
открывающие порты для запросов на обслуживание, которые уже разрешены, 
например, служба зесите $ВеП (ѕ55һа на ТСР-порте 22). В конце находится послед- 
нее правило, которое обычно отбрасывает (ркор) или отклоняет (ВЕЗЕСТ) любой 
неразрешенный запрос. 

Чтобы дать публичный доступ на ваш ЕТР-сервер тому, кто его запрашивает, 
необходимо разрешить новые запросы к ТСР-порту 21. Обычно это правило до- 
бавляется где-то перед окончательным правилом ОВОР или ВЕЗЕСТ. В следующем 
примере показана часть содержимого файла /еЁс/ ѕуѕсопҒів/ірёаь1еѕ с правилом, 
разрешающим доступ к ЕТР-серверу (выделено полужирным): 


*+11 {ег 

:ІМРОТ АССЕРТ [0:0] 

: РОКМАВО АССЕРТ [0:0] 

:О0ТРОТ АССЕРТ [0:0] 

-А ІМРОТ -т ѕ+ае --ѕ+афе ЕЅТАВІІЅНЕЮ,КЕГАТЕР -ј АССЕРТ 

-А ІМРОТ -1 10 -ј АССЕРТ 

-А ТМРОТ -т $фафе --ѕ+аёе МЕМ -т ср -р ср --ӣрогі 22 -ј АССЕРТ 
-А ТМРОТ -т $фафе --ѕ+аёе МЕМ -т ср -р ср --Чрог* 21 -ј АССЕРТ 


-А ІМРОТ -ј ВЕЗЕСТ --гедуесе-м1В істр-һоѕ+-ргоһірі+еа 
СОММІТ 


В примере видно, что для таблицы фильтров брандмауэр принимает пакеты от 
установленных подключений, подключений от локальных хостов и любых новых 
запросов на ТСР-порт 22 (служба ЗН). Строка, которую мы только что добавили 
(--арог+ 21), позволяет принимать любые пакеты на новых соединениях с ТСР- 
портом 21. 


ПРИМЕЧАНИЕ 

Важно установить строку ЕЅТАВШЅНЕР, ВЕГАТЕР в правилах брандмауэра ірќаБІеѕ. Без нее пользователи смогли бы 
подключиться к службам 55Н (порт 22) и ЕТР (порт 21), то есть пройти аутентификацию, но не смогли бы пере- 
давать данные. 


Следующее, что нужно сделать в КНЕТ. 6 и более ранних системах, — настро- 
ить модуль отслеживания ЕТР-соединений, который будет загружаться каждый 
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раз при запуске брандмауэра. Отредактируйте эту строку в начале файла /еёс/ 
ѕуѕсопҒів/ір+аБ1еѕ-сопҒіє, чтобы она выглядела следующим образом: 


ІРТАВІЕЅ _МОБИЕЕ$ ="п+_соппгаск_ р" 


На этом этапе можно перезапустить брандмауэр, помня о том, что ошибка может 
заблокировать вас, если вы вошли в систему удаленно. Используйте одну из двух 
следующих команд для перезапуска брандмауэра в зависимости от того, применя- 
ет ли ваша система более старую службу 1реаб1ез или новую +1гема11а: 


# зегу1се 1рфаб1ез гезфагЕ 


или 


# зузфетсЕ1 гезфагф #1гема114. зегу1се 


Попробуйте еще раз получить доступ к ЕТР-серверу из удаленной системы 
с помощью браузера или другого ЕТР-клиента. 


Настройка 5ЕИпих для ЕТР-сервера 


Если служба ЗЕГлпих установлена в разрешительный режим или отключена, то 
она никоим образом не будет блокировать доступ к службе уѕ#єра. Однако, если 
ЗЕ тих находится в принудительном режиме, это может привести к тому, что ваш 
сервер уѕ#єра будет вести себя не так, как хотелось бы. Используйте следующие 
команды для проверки состояния ЗЕТлпах в своей системе: 


# рећепҒогсе 

ЕпҒогсіпе 

# ргер ^ЅЕШІМОХ= /еЁс/ѕуѕсопҒів/ѕе1іпих 
ЅЕШІМОХ=еп+огсіпе 


Команда веќепҒогсе показывает, в какой режим установлена служба ЅЕ1іпих. 
(В примере она находится в принудительном режиме.) Переменная ЅЕІІМОХ= в файле 
/еёс/ ѕуѕсопҒів/ѕе1іпих показывает, в какой режим устанавливается 5Е пих при 
запуске системы. Если она находится в принудительном режиме, как в примере, про- 
верьте справочную страницу #ёра_ѕеїіпих для получения информации о настройках 
ЅЕ1іпих, которые могут повлиять на работу вашей службы мера. Установите пакет 
5е14пих-ро11су-дос, чтобы получить справочную страницу #єра_ѕе1іпих, а также 
справочные страницы для других служб, связанных с политикой ЗЕ пах. 

Примеры контекстов файлов, которые следует установить для ЗЕТлпих, чтобы 
разрешить доступ к файлам и каталогам уѕ#+ра. 


® Чтобы поделиться содержимым так, чтобы его можно было загрузить на ЕТР- 
клиенты, он должен быть помечен контекстом файла риб11с_соп+еп* +. Файлы, 
созданные в каталоге /маг/+Ғер или в его подкаталогах, автоматически наследуют 
контекст файла риб11с_сопфеп*_+. (Обязательно создайте новое содержимое 
или скопируйте существующее в каталоги /маг/+Ер. Если файлы туда просто 
переместить, контекст может не измениться должным образом.) 
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® Чтобы разрешить загрузку файлов анонимным пользователям, контекст файла 
в каталоге, в который вы загружаете файлы, должен быть установлен в значение 
рир1іс_ сопепё_ги е. (Для этого должны быть установлены также другие раз- 
решения, логические типы 5Е пих и настройки м5 ра. соп+.) 


Если у вас в структуре каталогов /маг/#ёр есть файлы с неправильными кон- 
текстами (что может произойти, если переместить туда файлы из других катало- 
гов вместо их копирования), можете изменить или восстановить в них контекст 
файлов, чтобы они могли быть общими. Например, для рекурсивного изменения 
контекста файла каталога /маг/Ер/рчЬ /з+и++ так, чтобы содержимое можно было 
читать с ЕТР-сервера через ЗЕТлпих, введите следующее: 


# зетапазе +сопфехе -а -* риБ1іс сопіеп + " /маг/Ғр/рир/ѕ+иғ#(/.*) ?" 
# геѕіогесоп -Е -К -м /уаг/ЕЕр/риб/ и 


Если вы хотите разрешить пользователям записывать файлы в каталог и читать 
из него, нужно назначить контекст файла риб1іс сопёепё гм + каталогу загрузки. 
В примере далее команда указывает 5Еіпих разрешить загрузку файлов в каталог 
/маг/+єр/риб/ир1оааѕ: 

# зетапаёе Ғсоп+ех+ -а - риБ1іс сопёепЁ гм _+\ 


"/маг/#&р/риб/ир1оаӣѕ(/.*) ?" 
# геѕіогесоп -Е -К -м /уаг/ЕЕр/риб/ир1оа4$ 


Функции ЕТР-сервера, которые ЗЕТлпих считает небезопасными, имеют ло- 
гические типы, позволяющие разрешить или запретить эти функции, например. 


® Чтобы ЗЕПлпих разрешал анонимным пользователям читать и записывать фай- 
лы и каталоги, необходимо включить логический тип а110ом_Ғра апоп_игіёе 
(в ВНЕГ 6) или #єра апоп_меі+е (в ВНЕГ.7 или более поздней версии): 


# зеф$еБоо1 -Р ҒЕра апоп мгі+е оп 


® Чтобы иметь возможность монтировать удаленные общие файловые системы 
МЕ$ или СТЕ$ (\Мт40\з) и совместно использовать их из вашего сервера 
у$ ра, необходимо включить следующие два логических типа соответственно: 


# ѕеїѕероо1 -Р а110ом ҒЕра иѕе п#5 оп 
# ѕеЁѕероо1 -Р а11ом Ғіра иѕе сі+5 оп 


Если вы обнаружите, что не можете получить доступ к файлам или каталогам 
с вашего ЕТР-сервера, которые должны быть доступны, попробуйте временно от- 
ключить службу $Е11пих: 


# ѕеїреп+Ғогсе ө 


Если сможете получить доступ к файлам или каталогам с 5Е пих в разре- 
шительном режиме, верните систему в принудительный режим (ѕеёеп+огсе 1). 
Таким образом можно выяснить, что проблема заключается в настройках $Е11пих. 
(См. главу 24 «Повышенная безопасность с технологией ЗЕГлпих» для получения 
дополнительной информации о 5Е11пих.) 
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Права доступа к файлам в службе у5Ёра 


Сервер уѕ#ёра применяет стандартные права Піпих для разрешения или запрета 
доступа к файлам и каталогам. Анонимному пользователю, чтобы просмотреть или 
загрузить файл, нужно по крайней мере право на чтение. Оно должно быть открыто 
для о&һег (------ г--). Чтобы получить доступ к каталогу, необходимы права на 
выполнение ехесиќе, также в значении для о&ћег (-------- х). 

Для обычных пользователей общим правилом является то, что если они могут 
получить доступ к файлу из оболочки, то могут получить и доступ к тому же фай- 
лус ЕТР-сервера. Таким образом, как правило, обычные пользователи должны 
иметь возможность загружать (вет) и помещать (ри) файлы в собственные до- 
машние каталоги и из них. После установки прав и принятия иных мер безопас- 
ности для ЕТР-сервера можно переходить к другим параметрам конфигурации 
ЕТР-сервера. 


Настройка ЕТР-сервера 


Большая часть настройки службы уѕ#ера выполняется в файле /ефс/м$Ера/ 
у5ЕЕра.соп+. Варианты $ ра. соп для различных типов сайтов включены в ка- 
талог /иѕг/ѕһаге/ӣос/уѕ+#+ра. В зависимости от того, как вы хотите использовать 
ЕТР-сервер, в следующих разделах описано несколько способов его настройки. 
Не забудьте перезапустить службу уѕ+#+ра после внесения каких-либо изменений 
в конфигурацию. 


Настройка доступа для пользователей 


Сервер уѕ+#&ра могут применять все локальные пользователи [іпих (перечисленные 
в файле /еёс/раѕѕма), а доступ анонимных пользователей запрещен. Это основы- 
вается на следующих настройках уѕ+#ёра. соп+: 


апопутоиѕ _епаб1е=МО 
1оса1 епаб1е=ҮЕЅ 


Некоторые компании разрешают пользователям применять ЕТР для за- 
грузки содержимого на свои собственные веб-серверы. В некоторых случаях 
пользователи имеют учетные записи только для ЕТР-сервера, что означает: они 
не могут войти в оболочку, но могут войти через сервер ЕТР и управлять своими 
данными. Создание учетной записи пользователя, у которой нет оболочки по 
умолчанию (на самом деле /ѕбіп/по1овіп), — это способ не дать пользователю 
войти в оболочку, но при этом разрешить доступ по ЕТР. Например, строка 
/еёс/раѕѕма для учетной записи ЕТР-пользователя 6111 может выглядеть при- 
мерно так: 


6111:х:1000:1000:В111 Зопез: /һоте/6111: /5ріп/по1оріп 
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С учетной записью пользователя, установленной с /ѕбіп/по1овіп в качестве 
оболочки по умолчанию, любые попытки войти в систему с консоли или через $51 
в качестве учетной записи пользователя 6111 будут отклонены. Однако до тех пор, 
пока у пользователя 6111 есть пароль и включен доступ локальной учетной записи 
к ЕТР-серверу, он сможет войти на сервер через ЕТР-клиент. 

Не каждый пользователь с учетной записью в системе Глпах имеет доступ 
к ЕТР-серверу. Параметр и5ег115*+_епаб1е=УЕ$ в файле $ ра. соп+ сообщает об 
отказе в доступе к ЕТР-серверу всем учетным записям, перечисленным в файле 
/еёс/мѕ#&ра/иѕег_ 115+. В этот список входят административные пользователи 
гоо+, біп, даетоп, аат, 1р и др. Можете добавить в этот список других пользователей, 
которым хотели бы запретить доступ. 

Если вы измените параметр оиѕег115+_епаб1е на значение №, то файл иѕег_ 11+ 
станет списком только тех пользователей, которые имеют доступ к серверу. 
Другими словами, установка значения параметру иѕег115&_епаб1е=М№0, удаление 
всех имен пользователей из файла изег_11$+ и добавление имен пользователей 
сһгіѕ, јое и тагу1 в этот файл приводят к тому, что сервер разрешает только этим 
трем пользователям входить на него. 

Независимо от того, как задано значение изег115+_епаб1е, файл /еіс/уѕ#ёра/ 
{Еризегз всегда включает в себя пользователей, которым отказано в доступе к сер- 
веру. Как и файл иѕег115# епаб1е, файл РЕризег$ содержит список пользователей. 
Вы можете добавить в него пользователей, если хотите, чтобы им было отказано 
в доступе по ЕТР. 

Один из способов ограничить доступ в систему пользователям с обычными 
учетными записями — это применить настройки команды сһгооё. Примеры не- 
которых параметров сһғоої: 
сһгооЁ_1оса1 иѕег=ҮЕЅ 


сһгооЁ 115+ епаб1е=ҮЕЅ 
сһгооЁ 115 Ғі1е= /еіс/уѕҒіра/сһгооё 115+ 


С помощью этих настроек вы можете создать список локальных пользовате- 
лей и добавить их в файл /еёс/уѕ#єра/сһгоо+_ 115+. После того как один из этих 
пользователей войдет в систему, ему будет запрещено переходить в те места в ней, 
которые находятся за пределами структуры его домашнего каталога. 

Если загрузка на ЕТР-сервер разрешена, каталоги, в которые пользователь 
хочет загрузить данные, должны быть доступны для записи этим пользователем. 
Однако загруженные файлы могут храниться под именем пользователя, отличным 
от имени пользователя, загрузившего файл. Это одна из функций, которая будет 
описана далее, в пункте «Права на загрузку». 


Права на загрузку 


Чтобы разрешить любую форму записи на сервер уѕ#%ра, необходимо установить 
параметр мгіёе_епаб1е=ҮЕЅ в файле уѕ++ра. соп+ (по умолчанию установлен). 
Поэтому, если включены локальные учетные записи, пользователи могут войти 
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в систему и сразу же начать загрузку файлов в свои домашние каталоги. Однако 
анонимные пользователи по умолчанию лишены возможности загружать файлы. 

Чтобы разрешить анонимную загрузку с помощью службы уѕ#+ра, необходи- 
мо добавить первый параметр из примера, приведенного далее, а также вторую 
строку кода (оба варианта можно подключить, раскомментировав их из файла 
уѕ#ра. соп#). Первый параметр позволяет анонимным пользователям загружать 
файлы, второй — создавать каталоги: 


апоп_ир1оа_епаб1е=УЕ$ 
апоп_ ткаіг мгібе епаб1е=ҮЕЅ 


Следующим шагом является создание каталога, в котором анонимные поль- 
зователи могут записывать файлы. Любой каталог в каталоге /маг/#єр, имеющий 
права на запись для пользователя #+р, группы +Ер или оќћег, может быть записан 
анонимным пользователем. Чаще всего создается каталог загрузок с правами на 
запись. Далее приведены примеры команд, выполняемых на сервере: 


# ткаіг /маг/+ёр/ир1оайѕ 
# сһомп ҒЕр:+ҒЕр /маг/Ғер/ир1оааѕ 
# сһтоа 775 /маг/Ғер/ир1оааѕ 


Если брандмауэр открыт и логические типы $Е11іпих установлены правильно, 
анонимный пользователь может перейти в каталог загрузок и поместить в него 
файл из локальной системы пользователя. На сервере файл будет находиться в соб- 
ственности пользователя #ёр и группы #&р. Права, установленные в каталоге (775), 
позволят вам видеть загруженные файлы, но не изменять и не перезаписывать их. 

Одна из причин, почему нужно разрешить анонимным пользователям загру- 
жать файлы на сервер, заключается в том, чтобы позволить людям, которых вы 
не знаете, сбрасывать файлы в вашу папку загрузок. Поскольку любой, кто может 
найти сервер, способен записывать файлы в этот каталог, для сервера должна быть 
какая-то форма безопасности. Нужно запретить анонимному пользователю видеть 
файлы, загруженные другими пользователями, а также принимать или удалять 
файлы, загруженные другими анонимными пользователями ЕТР. Одной из форм 
безопасности является функция сһомп ЕТР. 

Установив следующие два значения, вы можете разрешить анонимную загрузку. 
В результате, когда анонимный пользователь загружает файл, последний сразу же 
присваивается другому пользователю. Далее приведен пример настроек сһомп, 
которые вы можете поместить в файл м$%Ера. соп для использования со своим 
каталогом анонимной загрузки: 


сһомп_ир1оайѕ=ҮЕЅ 
сһомп_ иѕегпате=јое 


Если анонимный пользователь загрузит файл после перезапуска службы уѕ#ёра 
с этими настройками, этот файл будет принадлежать пользователю Јое и группе 
ҒЄр. Для владельца установлены права на чтение/запись, а для остальных права 
не установлены (ги------- ). 
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Ранее мы рассмотрели варианты конфигурации отдельных функций на сервере 
ура. Некоторые наборы переменных \м5+р. соп+ могут работать вместе с по- 
мощью подходящих для определенных типов ЕТР-сайтов способов. В следующем 
разделе описан один из этих примеров, представленный файлом конфигурации 
\$ЕЕра. соп+, который входит в пакет м$+%ра. Этот файл можно скопировать из 
каталога с примерами файлов в файл /ес/уѕ#&рӣ/уѕ#&ра. соп+ и использовать на 
ЕТР-сервере, доступном в Интернете. 


Настройка службы уѕ#ра для Интернета 


Чтобы безопасно обмениваться файлами с ЕТР-сервера в Интернете, можно за- 
блокировать сервер, ограничив его только разрешением на загрузку и только от 
анонимных пользователей. Чтобы настроить безопасный обмен файлами м5 ра 
через Интернет, создайте резервную копию текущего файла /еёс/уѕ#&ра/мѕ#ёра. соп+ 
и скопируйте этот файл, чтобы перезаписать файл мера. соп: 


/ч5г/5Ваге/аос/у$+ра/ЕХАМРЕЕ/ТМТЕКМЕТ_$ТТЕ/\$ ра. соп+ 


Далее описывается содержание этого файла. Настройки в первом разделе задают 
права доступа к серверу: 
# Ассеѕ5 гірһЕѕ 
апопуточ$_епаб1е=УЕ$ 
1оса1 епаб1е=МО 
мгі+е епаб1е=№о 
апоп_ир1оаа епаб1е=№о 
апоп_ ткаіг мпібе епар1е=№ 
апоп_о+Нег_мг1е_епаб1е=М№ 


Включите параметр апопутоиѕ_епађ1е (ҮЕЅ) и отключите параметр 1оса1 _ 
епаб1е (№), чтобы никто не мог войти на ЕТР-сервер с помощью обычной учетной 
записи пользователя пах. Все должны входить через анонимный аккаунт. Никто 
не может загружать файлы (иг1{е_епаб1е=№). Затем установите, что анонимный 
пользователь не может загружать файлы (апоп_ир1оа4_епаб1е=№), создавать 
каталоги (апоп_ткаіг_мгіёе_епаб1е=№) или как-то иначе записывать на сервер 
(апоп_о&ћег_мгісе епаб1е=М№0). Вот так выглядят настройки безопасности: 


# бесиг1*у 
апоп_мог1А_геадаб1е_оп1у=УЕ$ 
соппес*_ гот рог _20=ҮЕЅ 
һіае іаѕ=ҮЕЅ 

раѕу тіп рог+=50000 

раѕу мах _рогї=60000 


Поскольку демон уѕ#ёра может читать файлы, назначенные пользователю 
и группе Фр, параметр апоп_мог1а геайаБ1е оп1у=ҮЕѕ гарантирует, что анонимные 
пользователи могут видеть файлы, где включен только бит разрешения на чтение 
для офНег (------ г--). Параметр соппесё гот рогі _20=ҮЕЅ дает демону уѕ#&ра 
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немного больше прав на отправку данных так, как может запросить клиент, раз- 
решив передачу данных в стиле РОЋТ. 

Параметр һійе ійѕ=ҮЕЅ скрывает реальные права, установленные для файлов, 
поэтому пользователю, получающему доступ к ЕТР-сайту, видно только то, что все 
файлы принадлежат пользователю #+р. Два параметра раѕу ограничивают диапазон 
портов, которые могут применяться с пассивным ЕТР (где сервер выбирает порт 
с более высоким номером для отправки данных), значениями от 50 000 до 60 000. 

В следующей части содержатся функции сервера уѕ#+ра: 


# Реафиге$ 
хЕег10=_епаб1е=УЕ$ 

15 гесигѕе епаб1е=№ 
аѕсіі аомп1оаа епаб1е=№о 
аѕупс_абог_епаб1е=ҮЕЅ 


С помощью параметра х+ег1ов_епаб1е=УЕЗ$ все передачи файлов на сервер 
и с сервера регистрируются в файле /уаг/105/х+ег1ов. Параметр 1$_гесиг$е_ 
епаБ1е=М№ запрещает пользователям рекурсивно перечислять содержимое ЕТР- 
каталога (другими словами, предотвращает вывод списка, который можно полу- 
чить с помощью команды 15 -В), поскольку на большом сайте это может привести 
к большому потреблению ресурсов. Отключение загрузки АЅСП заставляет все 
загрузки находиться в двоичном режиме (предотвращая перевод файлов в АЅСП, 
что не подходит для двоичных файлов). Параметр азупс_абог_епаб1е=УЕ$ гаранти- 
рует, что ЕТР-клиенты при прерывании передачи не будут зависать. 

Следующие параметры влияют на производительность: 


# РепҒогтапсе 

опе ргосеѕ5 тойе1=ҮЕЅ 

іа1е ѕеѕѕіоп +ітеои=120 
даа соппесёіоп бітеоиє=300 
ассері Жітеои+=60 

соппес*_ бітеоиё=60 
апоп_тах_гафе=50000 


С помощью параметра опе _ргосеѕ5_тойе1=ҮЕЅ производительность может 
улучшиться, поскольку служба м5Ера запускает один процесс на каждое соеди- 
нение. Уменьшение параметра 191е_е$51оп_41теои{ с 300 секунд по умолчанию 
до 120 секунд приводит к отключению ЕТР-клиентов, которые простаивают более 
2 минут. Таким образом, затрачивается меньше времени на управление сеансами 
ЕТР, которые уже не используются. Если передача данных останавливается более 
чем на несколько секунд даа соппесііоп_ёітеоиї (здесь 300 секунд), соединение 
с клиентом прерывается. 

Параметр ассері _+ітеои+, равный 60 секундам, позволяет удаленному клиенту 
принять РАЗ$У-соединение за 1 минуту. Параметр соппес_+іпеои+ задает время, 
в течение которого удаленный клиент должен ответить на запрос об установлении 
соединения для передачи данных в стиле РОВТ. Ограничение скорости передачи до 
50 000 байт/с с помощью параметра апоп_тах_гае может улучшить общую про- 
изводительность сервера, ограничив пропускную способность, которую может 
потреблять каждый клиент. 


Глава 18. Настройка ЕТР-сервера 525 


Подключение ЕТР-клиентов к серверу 


Многие клиентские программы поставляются вместе с тих. Их можно ис- 
пользовать для подключения к ЕТР-серверу. Если вы просто хотите сделать 
анонимную загрузку некоторых файлов с ЕТР-сервера, браузер Еігеѓох — под- 
ходящий инструмент для этого с простым интерфейсом. Для более сложных 
взаимодействий между ЕТР-клиентом и сервером можно задействовать ЕТР- 
клиенты командной строки. В следующих разделах описаны некоторые из этих 
инструментов. 


Доступ к ЕТР-серверу из браузера Еігеғох 


Браузер Етеюх обеспечивает быстрый и простой способ проверить доступ к ва- 
шему ЕТР-серверу или к любому общедоступному ЕТР-серверу. В своей системе 
введите #Єр:/ /1оса1һоѕї в адресной строке. Браузер предложит войти в систему, 
что можно сделать от имени обычного или анонимного пользователя, если сервер 
доступен через анонимный ЕТР. Как анонимный пользователь вы увидите нечто 
похожее как на рис. 18.2. 


Іпдех оѓ Ир:/ЛосайВо5\ - МозШа Еігеѓох х 
38 (пдех оѓ бр:/Лосаћоѕ/ х | + 
«)> е ё Ф пр:./Лосатоя 99а шо = 
] 
|пдех оѓ ёр:/Лосаіћоѕї/ | 
© Ор о Һдһег еме! @ігесќогу 
Мате те Газ: Мойійеа 
Еде: ПеЦо.о& 677 КВ 5/21/18 12:31:00 АМ ЕОТ 
О риь 8/12/18 12:00:00 АМ ЕОТ 
| 
Ф [тех амотацсаЦу зеп45 ѕоте даа {0 МогШа 50 \ВаЁ ме сап итргоме уоиг ехрегіепсе. Споо5е Ма! Ѕһаге | х 


Рис. 18.2. Доступ к ЕТР-серверу из браузера Еігеѓох 


Чтобы войти на ЕТР-сервер как определенный пользователь из браузера 
ЕігеЃох, вставьте имяпользователя : раѕѕмогаф@ перед Іоса1ћоѕ+, как показано в сле- 
дующем примере: 


ҒЕр: //сһгіѕ :Мураѕ55@1оса1һоѕі 
Указав правильное имя пользователя и пароль, вы сразу же увидите содержимое 


своего домашнего каталога. Щелкните на папке, чтобы открыть ее. Щелкните на 
файле, чтобы загрузить или просмотреть его. 
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Доступ к ЕТР-серверу с помощью команды І#р 


Для проверки своего ЕТР-сервера из командной строки примените команду 1#6р. 
Чтобы установить команду 1-+%р в системах Еейога или ВНЕТ, введите в командной 
строке следующее: 


# уит 11$%а11 1+%р 


Если вы применяете команду 1#+р только с именем ЕТР-сервера, к которому 
хотите получить доступ, команда пытается подключиться к ЕТР-серверу как ано- 
нимный пользователь. Добавив параметр и имя_пользователя, можете ввести пароль 
пользователя при появлении запроса и получить доступ к ЕТР-серверу от имени 
пользователя, под которым вошли в систему. 

После ввода информации о пользователе и пароле вы получите приглашение 
1+[Ер, готовое к вводу команд. При вводе первой команды устанавливается соеди- 
нение с сервером. Вы можете задействовать команды для перемещения по ЕТР- 
серверу, а затем команды ве* и ри+ для загрузки и выгрузки файлов. 

В следующем примере показано, как применять команды подобным образом. 
Предполагается, что ЕТР-сервер (и связанные с ним меры безопасности) был на- 
строен таким образом, чтобы позволить локальным пользователям подключаться, 
а также читать и записывать файлы: 


# ІҒЕр -и сһгіѕ Іоса1һоѕі 

Раѕѕмога: 

ЖЖЖЖЖЖЖЖ 

ІҒЕр сһгіѕ@1оса1һоѕ:~> рма 

ҒЕр: //сһгі5@1оса1һћоѕ+/%2Еһоте/сһгіѕ 
ІҒЕр сһгіѕ@1оса1һоѕ+:~> са ѕ+иғ#/5ѕ+аїе/ 
ІҒЕр сһгіѕ@1оса1һоѕ:~/ѕ+0ҒҒ/ѕЁа+е» 15 


-гм-г--г-- 1 13597 13597 1394 Осі 23 2014 
епго11еа-20141012 
-гм-г--г-- 1 13597 13597 514 Осі 23 2014 


епго11еа-20141013 

ІҒЕр сһгіѕ@1оса1һоѕ+:~/ѕ+иҒҒ/ѕафе» ! рма 

/гооЁ 

ІҒЕр сһгіѕ@1оса1һоѕ:~/5+иҒҒ/ѕ+абе» ре ѕигуеу-20141023.1хї 
3108 Буфез$ Егап$Феггеа 

ІҒЕр сһгіѕ@1оса1һоѕ+:~/ѕ+0иҒҒ/ѕате» риё /еіс/һоѕіѕ 

201 Бу+еѕ +гапз+еггеа 

ІҒЕр сһгіѕ@1оса1һоѕ:~/ѕ+0ҒҒ/ѕЁае» 15 


-РМ-Р--Р-- 1 13597 13597 1394 Осі 23 2014 
епго11е4а-20141012 

-ги-г--г-- 1 13597 13597 514 Осі 23 2014 
епго11еа-201416013 

-ги-г--г-- 10 [2] 201 Мау 03 20:22 По$+5$ 
ІҒЕр сһгіѕ@1оса1һоѕ+:~/ѕ+0иҒҒ/ѕЁафе» !15 

апасопда-К$ . с+е біп іпѕа11.108 

аов Р1сфиге$ ѕепі 

Рромп1оааѕ Рир1іс ѕигуеу-20141023.1х+ 


ІҒЕр сһгіѕ@1оса1һоѕ+:~/ѕ+иҒҒ/ѕЁафе» даиі+ 
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После ввода имени пользователя (-и сНг1$) команда 1+Ер запрашивает пароль 
пользователя сйг1$. Команда рма показывает, что пользователь сйг1$ вошел в си- 
стему на локальном хосте и что /поте/сйг1$ — это текущий каталог. Так же как 
и в обычной оболочке командной строки Глпих, вы можете применить команду сӣ 
для перехода в другой каталог и 1$ для перечисления его содержимого. 

Чтобы команда, которую вы запускаете, интерпретировалась клиентом, просто 
поставьте перед ней восклицательный знак (!). Например, команда ! рма показы- 
вает, что текущий каталог в системе, инициировавшей 1#+р, — это /гоо*. Эта ин- 
формация полезна, потому что, если вы получаете файл с сервера без указания 
его назначения, он переходит в текущий каталог клиента (в данном случае /гоо*). 
Другие команды, которые будут интерпретироваться клиентской системой, — это 
1 са (для изменения каталогов) и !15 (для перечисления файлов). 

Если у вас есть права на чтение файла на сервере и права на запись, используйте 
команду ве+ для загрузки файла с сервера (ве ѕигуеу-20141023.1х+). Если у вас 
есть права на запись и загрузку в текущий каталог на сервере, применяйте команду 
ри* для копирования файла на сервер (ри /еёс/һоѕ+ѕ). 

Команда 1$ показывает, что файл /ес/һоѕ+ѕ был загружен на сервер. Команда 
115 говорит о том, что файл ѕигуеу-20141023.1х+ был загружен с сервера в иници- 
ирующую систему. 


Использование дЕТР-клиента 


В системах Глпих доступно и множество других ЕТР-клиентов. Еще один ЕТР- 
клиент, который стоит попробовать, — это 5ЕТР. Клиент 5ЕТР предоставляет 
интерфейс, который позволяет видеть как локальную, так и удаленную стороны 
ЕТР-сеанса. Чтобы установить 5ЕТР в системе Еейога, выполните следующую 
команду: 


# ушт іпѕ+а11 вр 


Чтобы открыть 5ЕТР, запустите его из меню приложений или выполните ко- 
манду вр & из оболочки. Для использования этого клиента введите ОВІ -адрес 
ЕТР-сервера, к которому хотите подключиться, введите имя пользователя (напри- 
мер, апопутоиѕ) и нажмите клавишу Епќег. На рис. 18.3 показан пример применения 
5ЕТР для подключения к сайту дпоте.ога — Ир.дпоте.огд. 

Чтобы перейти на ЕТР-сайт из 5ЕТР, просто дважды щелкните на папке (как 
в окне файлового менеджера). Полные пути к локальному каталогу (слева) и уда- 
ленному каталогу (справа) показаны над списками файлов и папок, расположен- 
ных ниже. 

Чтобы перенести файл с удаленной стороны на локальную, выберите нужный 
файл справа и нажмите на стрелку влево в середине экрана. Следите за ходом 
передачи файлов с помощью сообщений в нижней части экрана. Когда передача 
завершится, файл появится на панели слева. 
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9ҒТР2.019 х 
ҒТР оа Пепе Воотагкѕ Тгәпвіег 109 Тооіз Неф 
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Рис. 18.3. ЕТР-клиент 9ЕТР позволяет видеть обе стороны ЕТР-сеанса 


Можете добавить в закладки адреса, необходимые для подключения к ЕТР- 
сайту. Адрес добавляется к набору закладок, уже хранящихся в меню закладок. 
Выберите сайты из списка, чтобы опробовать 5ЕТР. Большинство сайтов предна- 
значены для дистрибутивов Глпих и других ресурсов с открытым исходным кодом. 


Резюме 


ЕТР-сервер — это простой способ обмена файлами по сети ТСР. Довольно без- 
опасный демон ЕТР (пакет м5 ера) доступен для ЕеЧога, Кеа Наё Епбегризе Глпих, 
ОБипея и других систем Глпих. 

Сервер из ра по умолчанию позволяет анонимным пользователям загружать 
файлы с сервера, а обычным пользователям Глпих — загружать или скачивать 
файлы (при условии правильных настроек безопасности). Перемещение по ЕТР- 
серверу аналогично перемещению по файловой системе Глпих, то есть нужно пере- 
ходить вверх и вниз по структуре каталогов, чтобы найти нужный контент. 

Существуют как графические, так и текстовые ЕТР-клиенты. Популярным 
текстовым клиентом для [іпих является 1+%р. Что касается графических ЕТР- 
клиентов, то можно задействовать обычный браузер, например Еігеѓох, или специ- 
альные ЕТР-клиенты, такие как 5ЕТР. 

ЕТР-серверы — это не единственный способ обмена файлами по сети из систем 
Тіпих. Служба Ѕатђа предоставляет способ совместного использования файлов по 
сети, чтобы общий каталог Шіпих выглядел как общий каталог из системы М№іпао%ұѕ. 
Глава 19 «Настройка Ѕатђа-сервера» описывает, как применять Ѕатђа для предо- 
ставления общего доступа к файлам в стиле МУіпаоҳѕ. 
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Упражнения 


Упражнения в этом разделе связаны с настройкой ЕТР-сервера в КНЕГ. или Еейога 
и подключением к этому серверу с помощью ЕТР-клиента. Если затрудняетесь 
с решением, воспользуйтесь ответами к упражнениям, размещенными в приложе- 
нии Б (хотя Глпах позволяет решать задачи разными способами). 


Не выполняйте эти упражнения в системе Глпих, работающей на общедоступном 


ЕТР-сервере, потому что они почти наверняка помешают его работе. 


1. 
2. 


10. 


Определите, какой пакет предоставляет демон Уегу Зесите ЕТР. 


Установите пакет \Уегу Ѕесиге ЕТР в своей системе и найдите в нем файлы 
конфигурации. 


Включите анонимный доступ к ЕТР-серверу и отключите вход локальным 
учетным записям в службе Уегу Ѕесше ЕТР. 


Запустите службу Уегу Зесиге ЕТР Оаетор и настройте ее для запуска при за- 
грузке системы. 


В системе, на которой работает ваш ЕТР-сервер, создайте в анонимном ката- 
логе ЕТР файл с именем *ез*, который содержит фразу ме1соме +0 уоиг уѕ#+ра 
ѕегуег. 


В браузере системы, на которой работает ваш ЕТР-сервер, откройте файл +еѕ+ 
из анонимного домашнего каталога ЕТР. Убедитесь, что вы видите содержимое 
этого файла. 


Из браузера за пределами системы, на которой работает ЕТР-сервер, получите 
доступ к файлу +еѕї в анонимном домашнем каталоге ЕТР. Если не можете 
получить доступ к файлу, убедитесь, что ваш брандмауэр, $Е пих и ТСР- 
оболочки настроены так, чтобы доступ был разрешен. 


Настройте свой сервер уѕ#+ра так, чтобы разрешить анонимным пользователям 
загрузку файлов в каталог іп. 


Установите ЕТР-клиент 1+%р (если нет второй системы іпих, сделайте это 
на том же хосте, на котором работает ЕТР-сервер). Если не можете загрузить 
файлы в каталог іп, убедитесь, что ваш брандмауэр, ЗЕТлпих и ТСР-оболочки 
настроены так, чтобы доступ был разрешен. 


Используя любой ЕТР-клиент, посетите каталог /риб/деб1ап-тее{1п8$ на сайте 
#р.дпоте.огд и перечислите его содержимое. 


Настройка 
Ѕбатба-сервера 


В этой главе 


ш Загрузка и установка Ѕатба-сервера. 
ш Функции безопасности ЅатБа-сервера. 
и Редактирование файла конфигурации эт. соп. 


и Доступ к Ѕатба-серверу для клиентов Мпих 
и Міпаоу. 


= батБа-сервер на предприятии. 


ЅатђБа-сервер — это проект, реализующий открытые исходные версии протоколов, 
применяемых для обмена файлами между системами \/т4о\уз и принтерами, а так- 
же для аутентификации пользователей и ограничения хостов. ЗатБа предлагает 
разные способы обмена файлами между системами УЛпао\уз, Глпих и МасО$, из- 
вестные и доступные их пользователям. 

В этой главе вы ознакомитесь с процессом установки и настройки сервера 
Затра. Здесь описываются функции безопасности, необходимые для совместного 
использования ресурсов файлов и принтеров, а также способы доступа к этим ре- 
сурсам из систем Глпих и Міпао%ѕ. 


Что такое Ѕатба 


атра (ѕатба.огд) — это набор программ, который позволяет Глпах, ОМІХ и другим 
системам взаимодействовать с протоколами общего доступа к файлам и принтерам 
Місгоѕоћ №іпаоуѕ. №іпаоуѕ, тасОЗ и другие клиентские системы могут получить 
доступ к серверам Ѕатђа для совместного использования файлов и принтеров та- 
ким же образом, как и с файловых серверов \/п4о\уз и серверов печати. 

С помощью Ѕатђа вы можете задействовать стандартную сеть ТСР/ИТР для 
связи с клиентами. Для службы имен батБа-сервер поддерживает обычные име- 
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на хостов ТСР/ТР, а также имена Ме ВТО$. По этой причине Ѕатђа не требует 
протокола Ме ВЕТТ (Мгсгозой Кау МеВТО$ Нате). Общий доступ к файлам 
осуществляется с помощью протокола Зегуег Меѕѕасе Воск (ЅМВ), который ино- 
гда называют Соттоп Гпіетеѓ Ее буяет (единая файловая система Интернета, 
СТЕ5). 

При разработке проекта ЗатБа было предпринято множество усилий, чтобы 
сделать программное обеспечение безопасным и надежным. На самом деле многие 
пользователи предпочитают серверы Ѕатђа вместо файловых серверов УЛшп4Чо\$ 
именно из-за дополнительной безопасности, присущей службам обмена файлами 
в стиле \/т4о\ в Гіпих или в других ОМІХ-подобных операционных системах. 

Помимо всей технической всячины, конечным результатом является то, что 
Ѕатђа позволяет легко обмениваться файлами между серверами Глпих и настоль- 
ными системами \/ш4о\5. Для настройки сервера требуется всего несколько фай- 
лов конфигурации и инструментов для управления ЗатБа. Для клиентов общие 
ресурсы просто отображаются в разделе Меёмогк (Сеть) (меню Пуск), а в старых 
системах \/ш4о\$ — в Проводнике №Уіпаоуѕ или окне М№еђуок М№еідћротооа (Сетевое 
окружение). 

Для настройки службы Ѕатђа необходимо непосредственно отредактировать 
файлы конфигурации Ѕатђа (в частности, ѕтр.соп#) и запустить несколько команд. 
Графические и веб-интерфейсы, такие как зузет-соп1в-затба и Затра ЭМ/АТ, 
больше не входят в состав новейших систем Еедота и ВНЕГ. 

Чтобы начать использовать сервер Ѕатђа в системе Глпих, необходимо устано- 
вить несколько пакетов программного обеспечения, как описывается в следующем 
разделе. 


Установка Ѕатба-сервера 


В Кеа Наб Ещегризе Піпих и Еейога для настройки файла Ѕатћђа и сервера печати 
необходимо установить пакет ѕатђа. В числе других компонентов пакет ѕатба 
включает демон службы Ѕатђа (/и$г/$61п/зтба) и демон сервера имен Ме ВТО$ 
(/изг/564п/птба). Пакет затба включает в себя пакет ѕатра- соттоп, который со- 
держит файлы конфигурации сервера ($16 . соп+, Ітһоѕ и др.) и команды добав- 
ления паролей и тестирования файлов конфигурации, а также другие функции 
Ѕатђа. 

Функции из других пакетов также упоминаются в этой главе, поэтому я опишу, 
как установить и эти пакеты. 


® Пакет ѕатра-с1іеп+. Содержит инструменты командной строки, такие как 
зтбс11еп{ (для подключения к общим ресурсам Ѕатђа или \Лт4о\з), птб1оокир 
(для поиска адресов хостов) и Ғіпаѕтр (для поиска хостов ЗМВ в сети). 


® Пакет ѕатра-иіпріпа. Включает компоненты, которые позволяют серверу Затра 
в пих стать полноправным членом домена \/ш4о\з, в том числе применение 
учетных записей пользователей и групп \/т4о\з в Глпих. 
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Чтобы установить все только что упомянутые пакеты (ѕатра- соттоп устанав- 
ливается как зависимый пакет общего пакета ѕатра, так что не нужно делать это 
отдельно), как суперпользователь введите из командной строки в дистрибутиве 
Еедога или ВКНЕГ. следующее: 


# уит іпѕ+а11 затба ѕатба-с1іепё ѕатба-міпбіпа 


[а5+ тефадафа ехрігаіоп сһеск: 0:01:44 аро оп Ѕип 24 Зап 2020 
11:35:37 АМ ЕЅТ. 
Рререпӣепсіеѕ геѕо1меа. 


Раскаре Агсһіёес+џге Мегѕіоп Кероѕі+огу 
Ѕіғе 
Іпѕа11іпе: 
ѕатба х86 64 4.10.4-101.6е18 1 гһе1-8-Ғог-х86 64-баѕеоѕгртѕ-739 К 


ѕатба-міпбіпа х86 64 4.10.4-101.е18 1 гһе1-8-Ғог-х86 64-баѕеоѕгртѕ-570 К 
Іпѕёа11іпе Яерепӣепсіеѕ: 

ѕатра- соттоп-60015 

х86 64 4.10.4-101.е18 1 гһе1-8-Ғог-х86 64-баѕеоѕгртѕ-469 К 
ѕатба-1165 х86 64 4.10.4-101.е18 1 гһе1-8-Ғог-х86 64-баѕеоѕгртѕ-185 К 
ѕатра-міпріпа-тоаи1еѕ 

х86 64 4.10.4-101.6е18 1 гһе1-8-Ғог-х86 64-баѕеоѕгртѕ-122 К 
ѕатба-с1іепїі х86 64 4.10.4-101.е18 1 гһе1-8-Ғог-х86 64-баѕеоѕгртѕ-658 К 


Тгапѕасёіоп Ѕиттагу 


Тп${а11 6 Раскареѕ 


Тоёа1 домп1оаа ѕіғе: 2.5 М 
Іпѕ+а11еа $17е: 6.8 М 
Іѕ іһіѕ ок [у/а/№]: у 


Чтобы просмотреть файлы конфигурации после того, как вы установили пакеты 
Ѕатђа, введите: 


# грт -ас ѕатба- соттоп 
/еёс/1оргоа+е.4/ѕатра 
/еёс/ѕатра/1тһоѕёѕ 
/еёс/ѕатрба/ѕт0.сопғ 
/еёс/ѕуѕсопҒір/ѕатба 


Файлы /еёс/1овго+а+е.й/ѕатба и /еёс/ѕуѕсопҒів/ѕатра обычно не изменяют- 
ся. Первый устанавливает, как файлы в каталоге /маг/1ов/ѕатра обрабатываются 
(копируются в другие файлы и удаляются) с течением времени. Второй — это 
файл, в который можно поместить параметры, передаваемые демону ѕтба, птра или 
міпріпаа, чтобы отключить различные функции, например отладку. 

Большинство файлов конфигурации, которые можно изменить для сервера 
Ѕатђа, находятся в каталоге /еєс/ѕатра. Файл ѕть.сопҒ — это основной файл 
конфигурации, в котором содержатся основные настройки сервера, а также ин- 
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формация об общем доступе к отдельным файлам и принтерам (подробнее об 
этом позже). Файл 1тһоѕ&5 позволяет сопоставлять имя хоста Ѕатђа Ме ВТО$ 
с [Р-адресами. 

Хотя по умолчанию файла /еёс/ѕатра/ ѕтриѕегѕ не существует, вы можете 
создать его, чтобы сопоставлять имена пользователей Глпих и \п4о\з. Инфор- 
мация о том, как настроить Ѕатђа-сервер, находится на справочной странице 
5тЬ. соп (тап этЬ. соп+). Существуют также справочные страницы для команд 
Затра, таких как зтбра$$ма (смена паролей), зтьс11еп* (подключение к серверу 
ЅатБа) и птЬ1оокир (поиск информации Ме ВТО5). 

После установки пакетов Ѕатђа и быстрого обзора того, что в них содержится, 
запустите службу ЗатБа и посмотрите, какие в ней будут настройки. 


Запуск и остановка службы Ѕатра 


Установив пакеты ѕатба и ѕатра-сотпоп, вы можете запустить сервер и исследо- 
вать, как он работает с настройками по умолчанию. С сервером Ѕатђа связаны две 
основные службы, каждая из которых имеет собственный демон службы. 


® сть. Эта служба управляет процессом демона 5тба, который предоставляет 
службы общего доступа к файлам и принтерам, доступные клиентам \/т4о\у5. 


® пп. Эта служба управляет демоном птьа. Обеспечивая сопоставление имени 
службы имен Ме ВТО$ с адресом, птЬа может сопоставлять запросы от клиентов 
М/п4о\з с именами Ме ВТО$, разрешенными в ІР-адресах. 


Для обмена файлами с другими системами Глпих и принтерами с помощью 
Ѕатђа требуется только служба ѕть. В следующем разделе описывается, как за- 
пустить и включить ее. 


Запуск службы Ѕатба ($тЪ) 


Служба ть запускает сервер ѕтьа и открывает доступ к файлам и принтерам 
вашей системы для других компьютеров общей сети. Как обычно, в разных си- 
стемах Глпих службы включаются и запускаются по-разному. Для запуска демона 
зтЬа в различных системах Глпих вам нужно найти имя службы и правильный 
инструмент. 

Чтобы в системах Еейога и КНЕТІ. подключить сервер Ѕатђа и немедленно за- 
пускать его при их загрузке, от имени суперпользователя введите из командной 
строки следующее: 


# ѕуѕёетс+1 епаБ1е ѕтЬ.ѕегуісе 
# ѕуѕёетс+1 зфагЕ ѕтЬ.ѕегмісе 
# зузфетсЕ1 зФафи$ ѕтр.ѕегуісе 
ѕтр.ѕегуісе — Ѕатра $МВ Раетоп 
Іоайеа: 1Іоааеа (/иѕг/116Ь/ѕуѕ+ета/ѕуѕ+ет/ѕть.ѕегмісе; епаб1еа) 
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Асііме: асЕ1уе (гиппіпв) ѕіпсе Ег1 2020-01-31 07:23:37 Ерт; 6$ аро 
росѕ: мап: ѕтБа(8) 
пап: ѕатба(7) 
мап: мб. соп+ (5) 
Зфафи$: "ѕтра: геа4у Фо зегуе соппесёіопѕ..." 
Таѕкѕ5: 4 (111%: 12216) 
Метогу: 20.7М 
Маіп РТО: 4838 (эта) 
Сбгоир: /ѕуѕ+ет. $11се/ тб. зегу1се 
| 4838 /иѕг/ѕріп/ѕтра --Когеггоипа --по-ргосе$$-вгоир 
— 4840 /иѕг/ѕріп/ѕтра --Когеггоипа --по-ргосе$$-вгоир 


Первая команда зузетсЕ1 включает службу, вторая сразу же запускает ее, 
а третья отображает состояние. Обратите внимание на то, что файл службы рас- 
полагается по адресу /иѕг/116/ѕуѕёета/ ѕуѕёет/ зтЬ . зегу1се. Посмотрите на со- 
держимое этого файла: 


# са /иѕг/116/5уѕ+ета/ ѕуѕ+ет/ѕть.ѕегмісе 

[91] 

Безсг1р+1оп=5атба 5МВ Баетоп 

Роситепа{1оп=тап: м6 (8) тап: ѕатба(7) тап: м6. соп+(5) 
Мапѕ=пеёмогк-оп1іпе. агре 

АҒёег=пемогк.ёагреё пемогк-оп1іпе.Жагреї птр.ѕегуісе міпбіпа. 
зегу1се 

[5егуісе] 

Туре=по+і+у 

№ 1РуАссе$$=а11 

РІРЕі1е= /гип/ѕтра.ріа 

І іті+МОЕ11Е=16384 

ЕпуігоптепЁРі1е= - /еёс/ ѕуѕсопҒір/ѕатба 

ЕхесЅ+агі= /иѕг/ѕріп/ѕтра --Фогевгоипа --по-ргосе$$-вгоир $5МВООРТІОМ№Ѕ 
ЕхесвВе1оад=/61п/К111 -НОР $МАТМРТО 

іті+сСоКЕ=іп+іпіёу 
Епуігоптеп=КЕВ5ССМАМЕ=ҒІІЕ : /пип/ ѕатба/кгЫ5сс_ѕатба 

[1пѕ+а11] 

Мап+еаву=ти1+1і -иѕег.ёагреі 


Процесс демона Ѕатђа (ѕтба) запускается после целевых пеёмогК, пемогк- 
оп1іпе, пп и міпріпа. Файл /еёс/ѕуѕсопҒів/ ѕатра содержит переменные, которые 
передаются в качестве аргументов демонам ѕтба, птра и міпріпаа при их запуске. 
Ни для одного из этих демонов по умолчанию не задано никаких параметров. 
Строка мапёеаву указывает, что служба зтб. зегу1се должна запускаться при за- 
грузке системы в многопользовательский режим (многопользовательская цель), 
что происходит по умолчанию. 

В ВНЕГ 6 и более ранних версиях системы сервер Ѕатђа можно запустить 
следующим образом: 


# зегу1се ѕтЬ ѕ+аг+ё 
Ѕ+агііпе 5МВ ѕегуісеѕ: ок ] 
# сһксопғіє тб оп 
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# зегу1се тб ѕ+а+иѕ 

этба (ріа 28056) 1$ гипп1пв... 

# сһксопҒів --1151 зт6 

тб 9:оРЕ 1:0 2:0п З:оп 4:0п 5:0п 6:0#Ғ 


Независимо от того, используете ли вы сервер Ѕатђа в КНЕГ, Еейога или дру- 
гой системе Глпих, проверить доступ к нему можно с помощью команды ѕтрс1іепё 
(из клиентского пакета затьа). Основную информацию с сервера Ѕатђа можно 
получить с помощью следующей команды: 

# ѕтрс1іепі -Ё 1оса1һоѕї 


Епёег ЅАМВА\гооЁ'5ѕ раѕѕмога: <ЕМТЕВ> 
Апопутоиѕ 1оріп ѕиссеѕ5#и1 


Ѕһағгепате Туре Соттеп 
ргіпё$ ріѕк Ргіпёег Ог1\уег$ 
ІРС$ ІРС ІРС Ѕегуүісе 


(батба Ѕегуег Мегѕіоп 4.10.10) 
аеѕкје+ Ргіпёе” аеѕКкје+ 
Кесоппесёіпр міёһ 5МВ1 Ғог могКвгоир 11іѕ+іпре. 
Апопутоиѕ 1оріп ѕиссеѕ5#и1 
Ѕегуег Соттепе 


Вывод команды ѕтбс1іепё позволяет увидеть, какие службы доступны с сервера. 
По умолчанию анонимный вход разрешен при запросе сервера (поэтому я просто 
нажал клавишу Епег, когда было предложено ввести пароль). Из этого вывода по 
умолчанию вы можете узнать о настройке сервера ЗатБа следующее. 


® Все принтеры, совместно используемые через сервер СОР5 в вашей системе 
Тіпих, доступны также с сервера Ѕатђа, работающего в этой системе. 

® Никакие каталоги сервера еще не являются общими. 

® Служба имен Ме ВТО$ еще не запущена с сервера Ѕатђа. 


После этого вы можете решить, хотите ли запустить службу имен Ме ВТО$ на 
своем сервере ЅатБа. 


Запуск сервера имен М№еВТО$ (птБа) 


Если в сети не работает сервер домена \/т4о\$, как в данном случае, можете за- 
пустить службу птЬ на хосте Затра, чтобы подключить ее. Чтобы запустить службу 
пт (демон птьа) в Еейога или КНЕТ. 7, введите следующее: 

# ѕуѕіетс+1 епаБ1е птЬ.зегу1се 


# ѕуѕёетс+1 ѕ+агі пмЬ.зегу1се 
# зузфетсЕ1 эфафи$ птЬ.зегу1се 
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В КНЕ. 6 и более ранних версиях системы для запуска службы пть необходимо 
ввести следующее: 
# зегу1се птЬ ѕёагі 
ѕегмісе пт ѕ&аёиѕ 


# 
# сһксопғіє пм оп 
# сһксопҒіє --1151 пть 


Независимо от того, как была запущена служба Ме ВТО$, демон птьа теперь 
запустится и будет сопоставлять имена Ме ВТО$З с адресами. Снова выполните 
команду зтьс11еп* і, а затем введите ГР-адрес сервера. 

На этот раз последние несколько строк вывода должны отображать информа- 
цию, полученную от сервера Ме ВТО$, который теперь работает на сервере Ѕатђа. 
В этом случае последние несколько строк выглядят так: 


# этьс11епе -Ё 1оса1һћоѕі 


Моғгкегоир Маѕ+ег 


ЅАМВА ҒЕРОКАЗӨ 


Видно, что новый сервер МеВТО$ называется ЕЕБОВАЗ@ и является главным 
сервером для рабочей группы. Чтобы сделать запрос к серверу птьа для ІР-адреса 
ЕЕРОВАЗе, необходимо ввести следующую команду: 

# птр1оокир -Ц 1оса1по$+ РЕБОКАЗ@ 


дчегуіпв РЕБОКАЗ@ оп 127.0.0.1 
192.168.122.81 ҒЕРОКАЗӢ<еӨ> 


Теперь видно, что сервер Ѕатђа работает из локальной системы. Имя хоста 
(в данном случае ЕЕРОКАЗ@) назначается системе по умолчанию. 

Но если у вас настроен брандмауэр или включена система ЗЕГлпих, возможно, 
вы не сможете полностью получить доступ к серверу ЗатБа из удаленной систе- 
мы. В следующем разделе будет описано, как открыть сервер Ѕатђа для систем за 
пределами локальной системы, а также разрешить некоторые функции сервера, 
которые могли быть отключены в ЗЕТапих. 


Остановка служб Ѕатба (ѕтБ) и МеВТО$ (птЬ) 


Чтобы остановить службы зт6 и пт в Еейога или КНЕТ, вы можете использовать 
ту же команду ѕуѕёетс+1, что и для их запуска. Ее же можно применить и для от- 
ключения служб, чтобы они не запускались снова при загрузке системы. Вот при- 
мер того, как немедленно остановить службы $тЬ и пть: 


# зузфетсЕ1 зФор ѕтЬ.ѕегуісе 
# зузфетсЕ1 зФор птЬ.5егу1се 


В КНЕТ. 6 и более ранних версиях систем Глпиах, чтобы остановить службы зтЬ 
и пт, введите следующие команды: 


# зегу1се ѕтЬ $Фор 
# зегу1се птЬ ѕ%ор 
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Чтобы в системах Ее4ога или КНЕГ. предотвратить запуск служб тб и пт при 
следующей перезагрузке системы, введите следующие команды: 


# ѕуѕёетс+1 діѕар1е зтЬ.зегу1се 
# ѕуѕЕетс+1 415аб1е птЬ.зегу1се 


В системе Ве Наё Ещегризе Тлпих 6 и более ранних версиях введите следу- 
ющие команды, чтобы отключить службы зт6 и пть: 


# сһксопғів тб оЕЕ 
# сһксопғів пб оғ 


Конечно, останавливать и отключать службы т и пто необходимо только 
в том случае, если вы больше не хотите работать со службой Ѕатђа. Продолжайте 
конфигурировать службу, настроив функции безопасности Глпих, чтобы открыть 
доступ к службе Ѕатђа для других пользователей вашей сети. 


Защита сервера Ѕатба 


Если вы не можете получить доступ к своему серверу Ѕатђа сразу после его за- 
пуска, вероятно, придется изменить настройки безопасности. Многие установки 
Глпих по умолчанию предотвращают, а не разрешают доступ к системе, а на- 
стройки службы Ѕатђа направлены на обеспечение скорее ее доступности, а не 
безопасности. 

Перечислю функции безопасности, о которых вы должны знать при настройке 
системы Затра. 


ө Брандмауэры. Брандмауэр по умолчанию для Ее4ога, КНЕТ. и других систем 
Глпих предотвращает любой доступ к локальным службам из внешних систем. 
Таким образом, чтобы разрешить пользователям доступ с других компьютеров 
к вашей службе ЗатБа, вы должны создать правила брандмауэра, которые от- 
крывают один или несколько портов для выбранных протоколов (в частности, 
ТСР). 

® Система ЗЕГлпих. Многие функции Ѕатђа система ЗЕГлпах воспринимает 
как потенциально небезопасные. Поскольку логические типы ЗЕГпих по 
умолчанию (включение/выключение определенных функций) настроены так, 
чтобы обеспечить наименьший необходимый доступ, вам необходимо включить 
логические типы для доступа пользователей к своим домашним каталогам с по- 
мощью ЗатБа. Другими словами, вы можете настроить Ѕатђа для совместного 
применения домашних каталогов пользователей, но система ЗЕГлтих запретит 
эту функцию, если ее не перенастроить. 

® Ограничения для хоста и пользователя. В самих файлах конфигурации ЅатБа 
можно указать, какие хосты и пользователи могут иметь доступ к серверу Ѕатђа 
в целом или к отдельным общим каталогам. 


В следующих разделах описывается, как настроить вышеупомянутые функции 
безопасности для сервера Затьа. 
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Настройка брандмауэра для сервера Ѕатба 


Если брандмауэр 1раб1е$ или #1гема114 настроен для системы при ее установке, 
он обычно разрешает любые запросы на услуги от локальных, но не от внешних 
пользователей. Вот почему при установке (как сказано в посвященном ей разделе 
в этой главе) необходимо проверить, подключается ли служба Ѕатђа с помощью 
команды ѕтбс1іепі из локальной системы. Но если бы запрос исходил из другой 
системы, он был бы отклонен. 

Настройка правил брандмауэра для Ѕатђа в основном состоит из открытия 
входящих портов, на которых прослушиваются демоны ѕтра и птра. Перечислю 
порты, которые необходимо открыть, чтобы получить работающий сервис Ѕатђа 
в вашей системе Глпих. 


ө Порт ТСР 445. Это основной порт, на котором слушает демон ЅатђБа ѕтЬа. 
Брандмауэр должен поддерживать входящие на этот порт пакетные запросы, 
чтобы служба Ѕатђа работала. 


ө Порт ТСР 139. Демон ѕтра также прослушивает порт ТСР 139 для того, чтобы 
обрабатывать данные, связанные с именами хостов Ме ВТО$. Службу Ѕатђа 
можно использовать через порт ТСР, не открывая порт, но это не рекомендуется. 


® Порты ОРР 137 и 138. Демон пмЬа использует эти два порта для входящих за- 
просов Ме ВТО$. Если вы применяете демон пмба, они должны быть открыты 
для новых пакетных запросов для разрешения имен Ме ВТО$. 


Для систем Еейога и КНЕГ. разрешить входящий доступ к этим четырем портам 
очень просто. Откройте окно Ргема!! Сопйдигайоп (Брандмауэр) и на вкладке 5егМсез 
(Службы) установите флажки ѕатБа и ѕатбасіепї. Эти порты сразу становятся до- 
ступными (без перезапуска службы #1гема11а). 

Для более ранних систем Еедога и КНЕТ, которые используют службу 1реаб1ез 
вместо службы +1гема11а, открытие брандмауэра — это ручной процесс. Рассмо- 
трим брандмауэр по умолчанию дистрибутива Еедога, который разрешает вхо- 
дящие пакеты от локального хоста и от установленных соединений и связанных 
с установленными соединениями пакетов, но запрещает все остальные входящие 
пакеты. В следующем примере представлен набор правил брандмауэра в файле 
/еёс/ѕуѕсоп+ів/ірёар1еѕ с четырьмя новыми правилами (выделены): 


*11 {ег 

:ІМРОТ АССЕРТ [0:6] 

:ҒОКМАКЮ АССЕРТ [0:0] 

:О0ТРОТ АССЕРТ [0:0] 

-А ТМРОТ -м ѕёае --ѕ+абе ЕЗТАВЕТЗНЕО , ВЕЕАТЕО -ј АССЕРТ 

-А ТМРОТ -р істр -ј АССЕРТ 

-А ТМРОТ -1 10 -ј АССЕРТ 

-Т ІМРОТ -т $4афе --ѕ+афе МЕМ -т оар -р чар --арогЕ 137 -ј АССЕРТ 
-Т ТМРОТ -т $4афе --ѕ+афе МЕМ -т оар -р чар --арогЕ 138 -ј АССЕРТ 
-Т ТМРОТ -т ѕ+а+е --ѕ+афе МЕМ -т ср -р ср --арогЕ 139 -ј АССЕРТ 
-Т ТМРОТ -т $4афе --ѕ+афе МЕМ -т %ср -р ср --арогЕ 445 -ј АССЕРТ 
-А ТМРОТ -ј ВЕЗЕСТ --гедуесе-м1В істр-һоѕ+-ргоһірі+еа 

-А РОВМАКО -ј КЕЗЕСТ --ге]ес*-м1еИ істр-һоѕ+-ргоһірі+еа 

СОММІТ 
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Ваш брандмауэр может включать дополнительные правила, разрешающие вхо- 
дящие пакетные запросы для других служб, таких как Зесиге Зе ($$па) или еб 
(Һера). Их можно не изменять. Главное, чтобы ваши правила Ѕатђа располагались 
где-то перед окончательными правилами ВЕЗЕСТ. 

Если брандмауэр 1реаб1ез включен, можете перезапустить его, чтобы новые пра- 
вила вступили в силу. Для этого введите команду зуз{етс®1 геѕ&агі ірёаб1еѕ.ѕегуісе 
(в старых системах Еейога) или ѕегуісе геѕ+агі 1рфаб1е$ (в КНЕТ. 6 или более ран- 
ней версии). Снова подключитесь к серверу ЗатБа с помощью команды ѕтЬс1іепё 
или с помощью других методов, описанных в разделе «Доступ к общим ресурсам 
Ѕатђа» далее в этой главе. 

Дополнительные сведения об использовании брандмауэра ірёаБ1еѕ см. в гла- 
ве 25 «Защита пих в сети». 


Настройка системы 5ЕМпих для сервера Ѕатба 


Существуют как контекст файла, так и логические типы, связанные с использова- 
нием ЗатБа с ЗЕГапих в принудительном режиме. Контексты файлов должны быть 
правильно установлены в каталоге, общем для службы Ѕатђа. Логические типы 
позволяют переопределить подход с точки зрения безопасности по умолчанию 
к определенным функциям Ѕатба. 

Информацию о том, как ЗЕТалпих ограничивает Ѕатђа, вы можете найти на 
справочной странице затба_зе14пих (тап ѕатба_ѕе1іпих). Чтобы получить ее, не- 
обходимо установить пакет 5е11пих-ро11су-дос. Лучше понять ЗЕГлпих поможет 
глава 24. 


Настройка логических типов в 5ЕМпих 
для батБа-сервера 


Простой способ перечислить и изменить логические типы ЗЕГлпах для Ѕатђа — 
использовать командную строку. Чтобы задействовать команду етапаве для пере- 
числения логических типов, связанных с Ѕатђа, введите следующее: 


# зетапаре Боо1еап -1 | ергер "ѕтЬ | ѕатра" 


Далее приведен список логических типов ЗЕ лпих, применимых к Ѕатђа, с опи- 
санием. Большинство логических типов позволяет установить, какие файлы и ка- 
талоги сервер может читать и записывать от имени пользователей Ѕатђа. Другие 
типы дают возможность разрешить потенциально небезопасные функции. 


© сата_гип_ипсоп1теа. Позволяет серверу запускать неограниченные скрипты 
из общих ресурсов Ѕатђа. 

© спра апоп мгіќе. Дает возможность разрешить анонимным пользователям изме- 
нять общедоступные файлы, применяемые для общедоступных служб передачи 
файлов. Файлы и каталоги должны быть помечены как риб1іс_сопёепё гм +. 

® сапра епаб1е һоте дігѕ. Позволяет серверу совместно задействовать домашние 
каталоги пользователей. 
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® сатра _ехрогё_а11 го. Позволяет Ѕатђа совместно применять любые файлы 
и каталоги только для чтения. 


® изе_затба_поте_41г$. Позволяет удаленному серверу Ѕатђа получить доступ 
к домашним каталогам на локальном компьютере. 


® сапра сгеаќе һоте дігѕ. Позволяет серверу создавать новые домашние каталоги 
(например, с помощью РАМ). 


® сатра _ехрогё_а11 гм. Позволяет серверу совместно использовать любые файлы 
или каталоги для чтения/записи. 


Следующие логические типы влияют на способность сервера Ѕатђа совместно 
применять каталоги, которые самостоятельно монтируются из других удаленных 
служб (например, МЕЅ), или выступать в качестве контроллера домена Ұіпаоҳ. 


® сатра _ѕһаге_Ғиѕе#ѕ. Позволяет серверу экспортировать тома п 5 /иѕе+5. 
© затба_°Паге_п#5. Позволяет серверу экспортировать тома МЕЅ. 


© сатба_аота1п_сопего11ег. Позволяет батБа выступать в качестве контроллера 
домена, добавлять пользователей и группы, а также изменять пароли. 


Команда ѕеёѕебоо1 используется для включения или выключения логических 
типов 5Е тах. С помощью параметра -Р она устанавливает логический тип, при- 
меняемый на постоянной основе. 

Например, чтобы разрешить Ѕатђа совместно использовать любой файл или 
каталог с правами только на чтение с сервера, в качестве суперпользователя введите 
следующие команды: 

# ѕеїѕероо1 -Р затЬа_ехрог*_а11_го оп 


# вефзеБоо1 ѕатба_ехрогї_а11 го 
затба_ехрог*_а11_го --> оп 


В этом случае команда зе{зеБоо1 устанавливает логический тип в режим оп. 
Команда реёѕеБбоо1 позволяет увидеть значение логического типа. 


Установка контекстов для файлов Ѕатба в 5ЕМпих 


ЗЕ шах устанавливает ограничения на файлы, к которым может получить до- 
ступ служба Ѕатђа. Вместо того чтобы разрешить серверу ЗатБа общий доступ 
к любому файлу с соответствующими правами на чтение и запись, ЗЕТапах (когда 
система находится в принудительном режиме) требует, чтобы файлы и каталоги 
имели правильные контексты файлов, прежде чем служба Ѕатђа сможет даже 
увидеть, что файлы существуют. 

Чтобы служба Ѕатђа могла сразу же работать с ЗЕ пах, некоторые файлы 
и каталоги предустановлены с соответствующими контекстами файлов. Напри- 
мер, файлы конфигурации ЗатБа (/еёс/ ѕатба/*), файлы журналов (/маг/1о5/ 
ѕатра/*) и библиотеки (/маг/116/ ѕатба/*) имеют правила, обеспечивающие пра- 
вильные контексты файлов. Чтобы найти файлы и каталоги, связанные со службой 
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Ѕатђа и демоном зтЬа, которые имеют предустановленные контексты файлов, 
выполните следующие команды: 


# зетапаре +сопфехе -1 | ргер -1 ѕатба 
# зетапаре Есопфехе -1 | ргер -1 ѕтЬ 


Часть нужных контекстов заканчивается на _4, например, затба_еЕс_*, затба_ 
105_+ и атЬа_\уаг_+ для каталогов /еёс/ѕатба, /маг/1ов/ѕатра и /уаг/116/5атЬа 
соответственно. 

Вы можете обнаружить, что следует изменить контекст файла, например, при 
перемещении файлов в нестандартные места (допустим, перемещая файл $16 . соп+ 
в /гоо%*/ тб .сопР) или когда нужно поделиться каталогом (за исключением домаш- 
них каталогов, которые можно включить, установив логические типы). В отличие 
от серверов уѕ#ера (ЕТР) и һ+ра (жеђ), которые поставляются вместе с Гіпих, 
Ѕатђа не имеет общих каталогов содержимого по умолчанию (упоминавшиеся 
ранее используют каталоги /маг/4Ер и /маг/ммм/Ит1). 

Вы можете навсегда изменить контекст файла, создав новое правило контекста, 
а затем применив его к нужному файлу или каталогу. Сделать это можно с помо- 
щью команд ѕетапаве, чтобы создать правило, и пеѕёогесоп, чтобы его применить. 
Например, если вы хотите поделиться каталогом /туѕёи##, то должны создать его 
с соответствующими правами и выполнить приведенную далее команду, чтобы 
сделать его доступным для чтения/записи с сервера: 


# зетапаёе РсопфехЕ -а -+ затЬа_$Ваге_+ " /туѕ+иғЕ(/.*)?" 
# гезфогесоп -м /туѕ+иғғ 


После выполнения этих команд каталог /ту$+и++ вместе с любыми располо- 
женными ниже файлами и каталогами будет иметь контекст файла ѕатба_ѕһаге +. 
Затем необходимо назначить правильного владельца лпих и правильные права 
доступа к файлам, чтобы разрешить доступ к выбранным вами пользователям. 
В разделе «Настройка сервера Ѕатђа» приведен пример создания общего ресурса, 
а также показано, как добавить разрешения и права собственности в общий каталог 
с помощью стандартных команд Гпих. 


Настройка прав хоста/пользователя сервера Ѕатба 


В самом файле тб. соп+ вы можете разрешить или ограничить доступ ко всему 
серверу Ѕатђа или к определенным общим ресурсам в зависимости от хостов или 
пользователей, пытающихся получить доступ. Можете также ограничить доступ 
к серверу Ѕатђа, предоставив службу только определенным интерфейсам. 

Например, если одна карта сетевого интерфейса подключена к Интернету, а дру- 
гая — к локальной сети, вы можете указать серверу ЗатБа, чтобы он обслуживал 
запросы только на локальном сетевом интерфейсе. В следующем разделе описано, 
как настроить Ѕатђа, в том числе как определить, какие хосты, пользователи или 
сетевые интерфейсы могут получить доступ к серверу. 
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Настройка сервера Ѕатра 


В файле /еёс/ѕатра/ѕть. соп находятся настройки для установки сервера Ѕатђа, 
определения общих принтеров, задания способа аутентификации и создания общих 
каталогов. Файл состоит из следующих предопределенных разделов: 


® [51оБа1]. Здесь размещены настройки, применимые к серверу Ѕатђа в целом. 
Здесь вы устанавливаете описание сервера, его рабочую группу (домен), распо- 
ложение файлов журнала, тип безопасности по умолчанию и другие параметры; 


® [һотеѕ]. Этот раздел определяет, могут ли пользователи с учетными записями 
на сервере Ѕатђа видеть свои домашние каталоги (доступные для просмотра) 
или писать в них; 


® [ргіпёегѕ]. Настройки этого раздела сообщают Ѕатђа, следует ли открывать 
доступ к принтерам печати [пах (СОР) через сервер; 


® [ргіп+$]. Здесь каталог настраивается как общая папка с драйверами принтера. 


В файле ѕть. соп строки, начинающиеся со знаков фунта (#) или точки с за- 
пятой (;), являются комментариями. Удаление точек с запятой позволяет быстро 
настроить различные виды общей информации. Знак # можно применять и для 
комментирования строки. 

Перед редактированием файла ѕть. соп+ сделайте резервную копию, которой 
сможете воспользоваться, если что-то пойдет не так. Для начала скопируйте 
файл зтЬ .соп+.ехатр1е в ѕтр. соп. 


Настройка раздела [91юБа!] 


Пример раздела [5106а1] файла эт . соп+: 


[=21оба1] 
могкёгоир = ЅАМВА 
зесиг1у = иѕег 
раз$46 Баскепа = +965ат 
ргіпііпе = сирѕ 
рг1пЕсар паме = сирѕ 
1оаа ргіпёемѕ = уеѕ 
сирѕ орЕ1оп$ = гам 


Н пеёріоѕ пате = МУЗЕВУЕВ 
3 іпёегҒасеѕ = 1о еһе 192.168.12.2/24 192.168.13.2/24 
; һоѕіѕ а110м = 127. 192.168.12. 192.168.13. 


В этом примере рабочая группа (применяемая также в качестве доменного 
имени) имеет значение ЅАМВА. Когда клиент взаимодействует с сервером Ѕатђа, 
это имя сообщает клиенту, в какой рабочей группе находится сервер. 

Тип безопасности по умолчанию установлен на значение изег (имена пользо- 
вателей и пароли Ѕатђа). 
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Значение раз546 БасКепа = +46 5ат указывает на использование базы данных 
Ѕатђа Баскеп4 для хранения паролей. Вы можете применить команду ѕтрраѕѕмӣ 
для установки пароля каждого пользователя, как описано далее. 

Настройки рг1п1пв = сирѕ и ргіпёсар пате = сирз указывают на использование 
команды ргіпёсар, созданной службой печати СОР$. Когда вы устанавливаете 
значение 1оа4 ргіпёегѕ = уеѕ, Ѕатђа знает, что нужно совместно задействовать все 
принтеры, настроенные вашей локальной службой печати СОРЅ из сервера. 

Настройка сирѕ ортіопѕ позволяет передавать любые параметры принтерам 
СОР5, обслуживаемым сервером Ѕатђа. По умолчанию установлена только на- 
стройка гам, что позволяет клиентам \/14о\из использовать собственные драйверы 
печати. Принтеры на вашем сервере Ѕатђа печатают страницы, представленные 
в необработанном виде. 

По умолчанию О№-имя хоста вашего сервера (введите команду Поз папе, 
чтобы узнать, что это) используется также в качестве Ме ВТО$-имени на сервере. 
Вы можете изменить эту настройку и установить отдельное имя Ме ВТО5, рас- 
комментировав строку пеќріоѕ пате и добавив нужное имя сервера. Например, 
пеібіоѕ пате = муомппо$* .1оса1о$+ задействуется в качестве имени Ме ВТО5, если 
оно не было задано иначе. 

Если требуется ограничить доступ к серверу Ѕатђа так, чтобы он отвечал толь- 
ко на определенные интерфейсы, можете раскомментировать строку іпёег+асеѕ 
и добавить либо ІР-адрес, либо имена (10, еһе, еїһ1 и т. д.) нужных сетевых ин- 
терфейсов. 

Вы также можете ограничить доступ к серверу Ѕатђа определенными хоста- 
ми. Раскомментируйте строку һоѕёѕ а110ом (удалите точку с запятой) и вставьте ІР- 
адреса хостов, которые нужно разрешить. Чтобы ввести диапазон адресов, просто 
завершите часть адреса подсети, после которой стоит точка. Например, 127. связан 
с ІР-адресами, которые указывают на локальный хост. Строка 192.168.12. соот- 
ветствует всем [Р-адресам от 192.168.12.1 до 192.168.12.254. 


Настройка раздела [ћотеѕ] 


Раздел [поте] по умолчанию настроен таким образом, чтобы любая учетная запись 
пользователя сервера Ѕатђа могла получить доступ к собственному домашнему 
каталогу через сервер. Вот как выглядит раздел [һотеѕ] по умолчанию: 


[ћотеѕ] 
соттепЕ = Ноте О1гесфог1е$ 
ма1іа иѕегѕ = %5, #%0%и%5 
ргомѕеаб1е = № 
геаа оп1у = № 
іпһегіЄ ас15 = Үеѕ 


Установка \а114 изег$ в значение %5 заменяет текущее имя службы, что позво- 
ляет любым пользователям службы получить доступ к своим домашним каталогам. 
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Допустимые пользователи также идентифицируются доменом или рабочей груп- 
пой (%0), разделителем міпбіпа (т) и именем текущей службы (%5). 

Параметр 6гомзеаб1е = № запрещает серверу Ѕатђа отображать доступные об- 
щие домашние каталоги. Пользователи, которые могут предоставить собственные 
имена пользователей и пароли Ѕатђа, могут читать и писать в своих домашних 
каталогах (геаа оп1у = по). Если для параметра 1ппег1* ас1$ установлено значение 
Үеѕ, списки контроля доступа можно наследовать, чтобы добавить еще один уро- 
вень безопасности к общим файлам. 

Если после запуска службы ѕтЬ вы не можете войти в систему с помощью 
действительной учетной записи пользователя, необходимо изменить некоторые 
функции безопасности в системе. В частности, в системах Еейога и КНЕІ. нужно 
изменить функции ЗЕГ тих, чтобы пользователи могли получить доступ к своим 
домашним каталогам, если система 5Е11іпих находится в принудительном режиме. 

Например, если вы попытаетесь применить команду ѕтос1іепё для входа в свой 
домашний каталог, то войдете успешно, но при попытке перечислить содержимое 
домашнего каталога появится следующее сообщение: 


МТ_$ТАТИ$ АССЕ$$_РЕМТЕО 11544118 \* 


Чтобы настроить ЗЕТАпах и разрешить пользователям ЗатБа доступ к своим 
домашним каталогам в качестве общих ресурсов Ѕатђа, включите логический тип 
затба_епаб1е_поме_41г, введя следующее как суперпользователь из оболочки: 


# зефзебоо1 -Р затЬа_епаб1е_поте_41г$ оп 


Команда ѕеёѕеђоо1 разрешает совместное применение домашних каталогов (что 
по умолчанию отключено). Сначала создайте пароль для пользователя с помощью 
команды зтбра$зма, а затем войдите в систему посредством команды ѕтрс1іепї. 
Команда тб с11еп для проверки доступа к домашнему каталогу пользователя 


сһгіѕ будет выглядеть так (замените ТР-адреса именем или адресом вашего сервера 
Ѕатђа): 


$ ѕтрраѕѕма -а сһгіѕ 

Мем 5МВ раѕѕмога: ********* 

Кефуре пем $МВ раѕѕмогӣ: ********* 
Аадеа изег сһгіѕ. 


$ этьс11епе -0 сһгіѕ //192.168.0.119/сһгіѕ 


Епёег ЅАМВА\сһгіѕ'ѕ раѕѕмога: 
Тгу "һе1р" фо ре а 1151 оф ро$$161е соттапаѕ. 
этб: \> 15 #і1е.іхі 
Ғі1е.хі 149946368 бЅип Зап 4 09:28:53 2020 
39941 Ь10сКѕ ОҒ $12е 524288. 28191 Ь1оскѕ ауа11аб1е 
ѕмр:\> аиі+ 


Главное, что нужно помнить: даже если общий ресурс недоступен для просмо- 
тра, вы можете запросить его, указав имя хоста или ТР-адрес сервера Ѕатђа, а затем 
имя пользователя (в данном случае сһгіѕ), чтобы получить доступ к домашнему 
каталогу пользователя. 
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Настройка раздела [ргіпќегѕ] 


Любой принтер, настроенный для печати СОР$ в системе Глпих, автоматически 
передается другим пользователям через сервер на основе раздела [ргіпёегѕ], до- 
бавленного по умолчанию. Параметр е1оба1 сирѕ ортіопѕ = гам определяет все прин- 
теры как необработанные (это означает, что клиент Міпӣоуѕ должен предоставить 
соответствующий драйвер принтера для каждого общего принтера). 

Вот как выглядит раздел [рпіпёегѕ] по умолчанию в файле ѕтЫ. соп: 


[ргіп+егѕ ] 
соттепЕ = А11 Ргіпбегѕ 
раһ = /маг/Етр 
ргіпёаБ1е = Үеѕ 
сгеафе маѕк = 0600 
ргомѕеар1е = № 


Параметр раһ указывает серверу хранить временные файлы печати в файле 
/маг/+тр. Строка ргіпёаб1е = Уе$ определяет то, что все принтеры СОР$ в локаль- 
ной системе будут совместно использоваться сервером Ѕатђа. Принтеры доступны 
для записи и по умолчанию разрешают гостевую печать. Параметр сгеа+е таѕк = 
0600, применяемый в примере, удаляет биты записи и выполнения для группы 
и других в списках доступа, когда файлы создаются в каталоге рав. 

Чтобы убедиться, что локальные принтеры доступны, можете запустить коман- 
ду ѕтьс1іеп -1 из системы Глпих, как было показано ранее. В системе МУіпӢоуѕ 
в окне Ейе Ехріогег (Проводник) выберите Мемок (Сеть) и значок сервера ЗатБа. 
В этом окне отображаются все общие принтеры и папки. (Подробнее о просмотре 
и использовании общих принтеров см. раздел «Доступ к общим ресурсам Ѕатђа» 
далее в этой главе.) 


Создание папки общего доступа для сервера Ѕатба 


Нельзя добавить то, чего не существует, поэтому прежде всего общую папку (или 
каталог) нужно создать и присвоить ей соответствующие права. В приведенном 
далее примере каталог /маг/ѕа1еѕӣа+а общий. К примеру, вы хотите, чтобы данные 
были доступны для записи пользователем с именем сһгіѕ, но видны всем в вашей 
сети. Чтобы создать этот каталог и установить соответствующие права и контексты 
файлов ЗЕ лпих, введите от имени суперпользователя следующее: 


ткаіг /маг/ѕа1еѕӣа+а 

сһтоа 775 /маг/ѕа1еѕӣа+а 

сһомп сһ”іѕ:сһгіѕ /маг/ѕа1еѕӣа+а 

ѕетапаре Фсопфехе -а -+ ѕатра ѕһаге + /маг/ѕа1еѕӣа+а 

гезфогесоп -у /маг/ѕа1еѕӣа&а 

Жоисһ /маг/ѕа1еѕӣаёа/&еѕі 

15 -12 /маг/ѕа1еѕӣа+а/+еѕі 

-ги-г--г--. 1 гоо гоо 

ипсопҒіпеа и:објесі г:ѕатба ѕһаге :50 9 рес 24 14:35 
/маг/ѕа1еѕӣаба/+еѕ+і 


++ 
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Добавление папки общего доступа на сервер 


Если каталог /маг/ ѕа1еѕӣа+а создан и правильно настроен для совместного исполь- 
зования Затра, то вот как может выглядеть общая папка (называемая ѕа1еѕӣаѓа) 
в файле ѕтб. соп: 


[ѕа1еѕаа+а] 
соттепЕ = Ѕа1еѕ а+а Ғог сиггепё уеаг 
раһ = /маг/ѕа1еѕӣа+а 
геаа оп1у = по 
| ргомѕеаб1е = уеѕ 
\а114 иѕегѕ = сһгіѕ 


Перед формированием общего ресурса был создан каталог /маг/ѕа1еѕӣа+а 
с пользователем сһгіѕ, назначенным в качестве пользователя и группы, и каталог 
был настроен на чтение и запись для него. (Контекст файла ЗЕТлпих также должен 
быть установлен, если $Е1іпих находится в принудительном режиме.) Имя поль- 
зователя ЗатБа сНг15 должно быть представлено вместе с паролем для доступа 
к общему ресурсу. После того как пользователь сһгіѕ подключен к общему ресурсу, 
он может его читать и записывать в нем (геа4 оп1у = по). 

Теперь, когда вы ознакомились с настройками Ѕатђа по умолчанию и настрой- 
ками простого общего каталога (папки), изучите следующие несколько разделов, 
чтобы узнать, как еще настроить общие ресурсы. В частности, в примерах показано, 
как сделать общие ресурсы доступными для конкретных пользователей, хостов 
и сетевых интерфейсов. 


Проверка общего доступа на сервере 


Чтобы изменения в конфигурации ЗатБа вступили в силу, необходимо перезапу- 
стить службу тб. После этого убедитесь, что созданный вами общий ресурс ЗатБа 
открыт и любой пользователь, назначенный этому ресурсу, может получить к нему 
доступ. Чтобы сделать это, введите от имени суперпользователя из оболочки на 
сервере ЗатБа следующие команды: 

# зузфетсЕ1 гезфаге ѕтЬ.ѕегуісе 


# ѕтЬс1іеп -і 1оса1һоѕі -Ц сһгіѕ 
Епфег ЅАМВА\сһгіѕ'5 раѕѕмога: ******* 


Ѕһағепате Туре Соттеп 

ѕа1еѕаӣа+а ріѕк Ѕа1еѕ ажа Ғог сиггепф уеаг 
ргіпё$ ріѕк Рг1пфег Ог1уег$ 

ТРС$ ТРС ТРС Ѕегуісе (Ѕатба 4.10.4) 
сһгіѕ ріѕк Ноте Рігес+огіеѕ 


Кесоппесёіпе міћһ 5МВ1 Фог могкегоир 1іѕТіпе. 
5егуег Соттепе 


Глава 19. Настройка Ѕатба-сервера 547 


МогКкёгоир Маѕ+ег 


ЅАМВА РҒЕРОКАЗӨ 


Здесь вы можете увидеть имя общего ресурса (за1езаата), домен, установлен- 
ный на имя рабочей группы ЅАМВА, и описание (5а1ез даа Ғог сиггепё уеаг). Бы- 
стрый способ проверить доступ к общему ресурсу — применить команду зтьс14епх. 
Вы можете использовать имя хоста или ІР-адрес с командой ѕтрс1іепї для доступа 
к общему ресурсу. Поскольку в этом примере я нахожусь в локальной системе, то 
просто задействую имя 1оса1но$+ и добавленного пользователя (сһгіѕ): 


# этЬс11епе -0 сһгіѕ //1оса1һоѕЁ/ѕа1еѕӣа+а 

Епёег ЅАМВА\сһгіѕ'5 раѕѕмога: ****%*%**% 

Тру "һе1р" фо ре а 1151 оф ро$$161е соттапаѕ. 

тб: \> 1с@ /еїс 

тб: \> риё һоѕѕ 

риїтіпе +11е һоѕіѕ аз \һоѕіѕ (43.5 КЫ/5) (ауегаре 43.5 КЬ/5) 
тб: \> 15 


р 0 бип рес 29 09:52:51 2020 
ыы р Ө бип рес 29 09:11:50 2020 
Ноѕ+5 А 89 бип рес 29 09:52:51 2020 


39941 Б1оскѕ о+ $12е 524288. 28197 Б1оскѕ ауа11аб1е 
тб: \> аиі+ 


Общие ресурсы ЗатБа — это //по$+/зНаге или \\Но$*\$Ваге. Но когда вы иден- 
тифицируете общий ресурс ЗатБа из оболочки Гіпих как второй вариант, обратные 
косые черты должны быть экранированы. То есть в качестве аргумента первый 
пример должен был бы выглядеть как \\\\1оса1һоѕ&\\ѕа1еѕӣаќа. Таким образом, 
первая форма проще в применении. 


ПРИМЕЧАНИЕ 


Поставив обратную косую черту (\) перед символом, вводимым из оболочки, вы экранируете его. Это приказывает обо- 
лочке использовать символ, следующий за обратной косой чертой, буквально, вместо того чтобы придавать ему осо- 
бое значение. (*и ? — это примеры символов сособым значением.) Поскольку сама обратная косая черта имеет особое 
значение для оболочки, то если вы хотите применять ее в буквальном значении, нужно поставить перед ней обратную 
косую черту. Вот почему в адресе батБа, который включает в себя две обратные косые черты, их нужно набрать четыре. 


При появлении запроса введите пароль Ѕатђа для этого пользователя (он может 
отличаться от пароля пользователя Глпих). Пароль пользователя ЗатБа устанавли- 
вается с помощью команды ѕтрраѕѕма. После этого появится приглашение ѕтр : \>. 

На этом этапе открывается сеанс для хоста Ѕатђа, который похож на сеанс р 
для обхода ЕТР-сервера. Команда 1са /еїс назначает /еёс текущим каталогом в ло- 
кальной системе. Команда ри* һоѕ+ѕ загружает файл һоѕ+ѕ из локальной системы 
в общий каталог. Команда 1$ показывает, что файл существует на сервере. Команда 
аиії завершает сеанс. 
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Ограничение доступа к серверу Ѕатба по сетевому интерфейсу 


Чтобы ограничить доступ ко всем общим ресурсам, установите параметр е1оба1 
іпёегҒасеѕ в файле ть. соп. Сервер Ѕатђа предназначен скорее для локального 
обмена файлами, чем для обмена по широким сетям. Если у компьютера есть се- 
тевой интерфейс, подключенный к локальной сети, и интерфейс, подключенный 
к Интернету, то стоит открывать доступ только к локальной сети. 

Чтобы установить, какие интерфейсы прослушивает сервер Ѕатђа, раском- 
ментируйте строку іпёегҒасеѕ из предыдущего примера в разделе [61оба1] файла 
56 . соп+. Затем добавьте имена интерфейсов или диапазоны ІР-адресов тех ком- 
пьютеров, которым вы хотите разрепгить доступ к вашему компьютеру, например: 


іпёегҒасеѕ = 10 192.168.22.15/24 


Такая строка интерфейсов позволяет получить доступ к службе ЗатБа всем 
пользователям локальной системы (10). Она также позволяет получить доступ 
к любым системам в сети 192.168.22. См. описание различных способов идентифи- 
кации хостов и сетевых интерфейсов на справочной странице зп. соп#. 


Ограничение доступа к серверу батБа по хосту 


Доступ хоста к серверу Ѕатђа может быть установлен для всей службы или для 
отдельных общих ресурсов. 
Вот примеры строк Но$1$ а11ом и һоѕіѕ депу: 


һоѕ 5 а11ом = 192.168.22. ЕХСЕРТ 192.168.22.99 
һоѕ 5 а110м 192.168.5.0/255.255.255.0 

һоѕ 5 а11ом = .ехатр1е. сот тагКе* .ехатр1е.пе* 
һоѕ 5 епу = еуі1.ехатр1е.оге 192.168.99. 


Эти строки можно поместить в раздел [21оба1] или в любой раздел общего 
каталога. Первый пример разрешает доступ к любому хосту в сети 192.168.22., за 
исключением 192.168.22.99. Обратите внимание на то, что в конце номера сети 
требуется точка. В примере с 192.168.5.0/255.255.255.0 используется нотация маски 
сети для идентификации 192.168.5 как набора разрешенных адресов. 

В третьей строке примера кода любой хост из сети ехатр1е. сот разрешен, как 
и отдельный хост тагКе{ .ехатр1е.пе*. Пример һоѕіѕ депу показывает, что вы мо- 
жете применять одну и ту же форму для идентификации имен и ІР-адресов, чтобы 
предотвратить доступ с определенных хостов. 


Ограничение доступа пользователя к серверу батба 


Определенным пользователям и группам Ѕатђа можно разрешить доступ к части 
общих ресурсов ЗатБа, идентифицировав их в файле $16 .соп+. Помимо гостевых 
пользователей, доступ которым можно разрешить или не разрешить, аутентифи- 
кация пользователя по умолчанию для Ѕатђа требует добавления учетной записи 
пользователя ЗатБа (\/т4о\з), которая сопоставляется с локальной учетной за- 
писью пользователя Глпих. 
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Чтобы разрешить пользователю доступ к серверу Ѕатђа, необходимо создать 
для него пароль. Вот пример того, как добавить пароль Ѕатђа для пользователя јіт: 
# Ѕѕтрраѕѕма -а јіт 
Мем 5МВ раѕѕмога: ******* 

Вефуре пем $МВ раѕѕмога: ******* 


После выполнения команды ѕтрраѕѕма пользователь јіт может задействовать 
это имя пользователя и пароль для доступа к серверу Ѕатђа. Файл /мае/116/ѕатба/ 
ргіма+е/раѕѕаб.+ар содержит только что введенный пароль для јіт. Последний 
может изменить пароль, просто набрав команду ѕтрраѕѕма при входе в систему. 
Суперпользователь также может изменить пароль, повторно выполнив команду, 
показанную в примере, но не применяя параметр -а. 

Если вы хотите предоставить пользователю јіт доступ к общему ресурсу, до- 
бавьте строку уа11а изег5 к общему блоку в файле зтЬ. сопе. Например, чтобы 
предоставить доступ к общему ресурсу как пользователю сһгіѕ, так и пользователю 
јіт, можно добавить следующую строку: 


\а11а иѕегѕ = ]1т, сһгіѕ 


Если для общего ресурса установлен параметр геаа оп1у, то оба пользователя 
потенциально могут записывать файлы в общий ресурс (в зависимости от прав 
доступа к файлам). Если значение геаа оп1у равно уеѕ, вы все равно можете раз- 
решить доступ пользователям јіт и сйг1$ для записи файлов, добавив строку мгіе 
115+ следующим образом: 


мгі+е 115+ = јіт, сһгіѕ 


Строка Мгіќе 1154 может содержать группы (то есть группы іпих, содержащиеся 
в файле /ес/вгоир), чтобы разрешить запись любому пользователю іпих, принад- 
лежащему к определенной группе Глпих. Вы можете добавить права на запись для 
группы, поставив знак плюс (+) перед именем. Например, следующая строка дает 
группе тагкеё доступ на запись к общему ресурсу, с которым связана эта строка: 


мгі+е 115+ = јіт, сһгіѕ, +тагкее 


Существует множество способов изменить и расширить возможности общих 
ресурсов Ѕатђа. Для получения дополнительной информации о настройке Ѕатђа 
обязательно ознакомьтесь с самим файлом ѕтр. соп*, который включает в себя 
множество полезных заметок, и справочной страницей зб. сопё. 


Доступ к общим ресурсам Ѕатбра 


После создания несколько общих каталогов в Ѕатђа многие инструменты для 
клиентов, дающие доступ к этим общим папкам, становятся доступны как в Гіпих, 
так ив У\/ш4о\$. Инструменты командной строки в Глпих включают команду 
ѕтрс1іепё, описанную ранее в этой главе. Как графическое средство доступа к об- 
щим ресурсам можно использовать файловые менеджеры, имеющиеся в \п4о\$ 
(Проводник) и Глпих (Файлы с рабочим столом СМОМЕ). 
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Доступ к общим ресурсам Ѕатба в Шпих 


Как только общий ресурс Ѕатђа будет создан, к нему можно обратиться из уда- 
ленных систем Глпих и \/т4о\з с помощью файловых менеджеров или команд 
удаленного монтирования. 


Доступ к общим ресурсам Ѕатба через файловый 
менеджер Шпих 


Файловый менеджер в Глпах предоставляет доступ к общим каталогам из іпих 
(ЗатБа) и \/т4о\з$ (5МВ). Файловые менеджеры различаются на разных рабо- 
чих столах іпих. В СМОМЕ З можете нажать на значок Ейез (Файлы). На других 
рабочих столах откройте домашнюю папку (Ноте). 

В окне Маии$ (Файлы) выберите слева вкладку Оег Госайопѕ (Другие места). 
Появятся доступные сети (например, сеть \/т4о\уз). В нижней части окна вы уви- 
дите поле Соппесї їо Ѕегуег (Подключение к серверу), введите в него местоположение 
доступного общего ресурса ЗатБа. Учитывая предыдущие примеры, используйте 
один из следующих вариантов: 


ѕтр://192.168.122.119/сһгіѕ 
тб: //192.168.122.119/5а1еѕӣаіа 


Появится окно, изображенное на рис. 19.1. 


@ < ›> | <, Опегіосайопѕ | » а |= [= х 
Ж тез Оп Тһіѕ Сотриќег 
Ба А Сотршег 23.6 6В / 30.0 В аманаые / 
В боситем$ 
МевмогК$ 
+ Оомпюад$ | 
х У/паомѕ Мемогк 
33 Мис 
б Реиге$ 
на \ео$ 
Їн] Тгаѕһ 


+ Оһег і осайопѕ Соппесї {о Ѕегуег 5тЫ://192.168.122.119/сһгі5 Ф| ~ | Соппесї | 


Рис. 19.1. Общий ресурс Ѕатба из окна Маи из — Соппесі {о Ѕегуег 


Нажмите кнопку Соппесї (Присоединиться). В появившемся окне (рис. 19.2) вы 
можете подключиться в качестве зарегистрированного пользователя. Для этого 
нужно ввести свое имя пользователя, доменное имя Ѕатђа и пароль пользователя. 
Вы также можете выбрать, сохранить ли введенный пароль на будущее. 
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Раззм/ог4 гедиігеа Гог ѕһаге за(езЧака оп (оса(Но5Е 


Соппес( Аз (_)Апопутоиз 
(®) Ведыегед Џѕег 


зегпате | Сћгіѕ | 


отаіп | ЅАМВА | 
_ пни 


(О Рогде{ раззмога іттеаїаќе[у 
(©) Кететбег раѕѕуога ипі уои Іодоиї 
(О Кететбег гогеуег 


Рис. 19.2. Добавьте учетные данные на сервер Ѕатба 


Нажмите кнопку Соппесї (Присоединиться). Если пользователь и пароль вер- 
ны, вы увидите содержимое удаленного каталога. Если у вас есть право на запись 
в общий ресурс, можете открыть другое окно М№аийіиѕ (Файлы) и перетащить файлы 
между двумя системами. На рис. 19.3 показан пример окна Маии$ (Файлы) после 
подключения к общему ресурсу за1ездажа. 


н ЕЕЕ · 


Рис. 19.3. Общий ресурс Ѕатба в окне Маи из 
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Монтирование общего ресурса Ѕатба из командной строки Шпих 


Поскольку общий каталог ЗатБа можно рассматривать как удаленную файловую 
систему, подключайте ресурс Ѕатђа (временно или постоянно) к своей системе 
Тіпих с помощью общих инструментов Глпих. Используя стандартную команду 
монтирования (с установленным параметром с1+$-и{ 115), вы можете монтировать 
удаленный общий ресурс Затра в качестве файловой системы СТЕЅ в іпих. В этом 
примере общий ресурс за1езаафа монтируется с хоста по ТР-адресу 192.168.0.119 
в локальном каталоге /тпё/ ѕа1еѕ: 


# уит 11$%а11 с15-и{11$ -у 

# шКа1г /тпе/за1е$ 

# тоипЕ -Ё с1$ -о иѕег=сһгіѕ \ 
//192.168.0.119/5а1еѕӣаїа /тп/ѕа1еѕ 

Раѕѕмога Фог сһгіѕ@//192.168.122.119/5а1еѕӣа+а: ******* 

# 15 /тпЕ/ѕа1еѕ 

һоѕ&ѕ тетоѕ Ёеѕ+ мһі+ерарегѕ 


При появлении запроса введите пароль Ѕатђа для пользователя сһгіѕ. Учи- 
тывая, что он в этом примере имеет права на чтение из общего каталога и запись 
в него, пользователи вашей системы должны иметь возможность читать из подклю- 
ченного каталога и записывать в него. Независимо от того, кто сохраняет файлы 
в общем каталоге, на сервере эти файлы принадлежат пользователю сһгіѕ. 

Монтирование длится до тех пор, пока система не будет перезагружена или 
вы не выполните команду итоип* в каталоге. Если хотите, чтобы общий ресурс 
монтировался постоянно (то есть каждый раз, когда система загружается) в одном 
и том же месте, выполните дополнительную настройку. Сначала откройте файл 
/еёс/+ѕ+ар и добавьте запись, как в примере далее: 


//192.168.0.119/ѕа1еѕӣа+а /тпё/ѕа1еѕ сі#ѕ сгейепёіа15=/гоо/сіҒ.іхі 0 ө 


Затем создайте файл учетных данных (в этом примере /пооё/сі#.+х+). В него 
введите имя пользователя и его пароль, который нужно задействовать, когда система 
попытается смонтировать файловую систему. Вот пример содержимого этого файла: 


иѕег=сһћгіѕ 
раѕѕ=тураѕѕ 


Перед перезагрузкой, чтобы проверить правильность записи, установите ее 
из командной строки. Команда тоип* -а попытается смонтировать любую еще 
не смонтированную файловую систему, указанную в файле /ес/#ѕ+аь. Команда 
ағ отображает информацию о дисковом пространстве для подключенного каталога, 
как в следующем примере: 

# тоипЁ -а 
$ ағ -һ /тпЕ/ѕа1еѕ 


Е11езу${ет 517е Џѕеа А\уа11 Џеѕ% Моип+еа оп 
//192.168.0.119/5ѕа1еѕӣа+а 206 5.76 146 30% /тпЕ/за1ез 


Теперь можете использовать общий каталог Ѕатђа, как и любой другой каталог 
в локальной системе. 


Глава 19. Настройка Ѕатба-сервера 553 


Доступ к общим ресурсам батба в системе \М/іпаомѕ 


Как ив Ппих, вы можете получить доступ к общим ресурсам Затфа из окна фай- 
лового менеджера, в данном случае Ейе Ехрюгег (Проводник) в системе \ш4о\\5. 
Для этого откройте любую папку в \ш4о\$ и на панели слева выберите пункт 
Меблогк (Сеть). На экране должен появиться значок, представляющий сервер ЗатБа. 
Нажмите на него и, если необходимо, введите пароль. В окне появятся все общие 
принтеры и папки с этого сервера (рис. 19.4). 


Огдапіге т М№ебмогк апа Ѕ5һагіпд Сепќег Мем гетоќе ргіпќег= 


^ 
сһгіѕ 
4 Ы Ротедоор Ч Ѕһаге 


е 


4 № Сотриќег Г | 
> Ё, 1оса Оі5к (С:) Е езијеі-5550 


р сз епохо (0:) 


4 
> & ОУ АМОгме 3 Е 4 }еемез@192.168.0105 
рг =. 


> ба Мемогк 


за!ездайа (\\МУЗЕВУЕВ) 
1 Ѕһаге 


Рис. 19.4. Общий доступ Ѕатба в системе \Міпаоуѕ 


На рис. 19.4 видно, что существуют две общие папки (каталоги): сһеіѕ и ѕа1еѕ- 
да+а. Есть также несколько общих принтеров. Чтобы работать с папками, дважды 
щелкните на них и введите необходимые данные аутентификации. Поскольку 
принтеры по умолчанию настроены на использование необработанных драйверов, 
вам необходимо применять драйверы \/т4о\з для любого из принтеров Ѕатђа. 


Сервер Ѕатба на предприятии 


Данная тема выходит за рамки данной книги, однако общий доступ к файлам 
и принтерам \/т4о\$ через серверы ЗатБа часто встречается на крупных пред- 
приятиях. Несмотря на то что Глпих начал доминировать на рынке корпоративных 
серверов, системы Масгозой \/ш4о\з$ по-прежнему преобладают на настольных 
компьютерах. 

Основные функции, необходимые для внедрения серверов Ѕатђа на крупном 
предприятии со множеством настольных компьютеров Місгоѕоќ Ұіпаоуѕ, связа- 
ны с аутентификацией. Большинство крупных предприятий используют серверы 
Місгоѕоѓс Асийуе Юігесѓогу Ѕегуісеѕ (АР$) для проверки подлинности. На стороне 
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Тіпих это означает настройку КегБегоѕ в системе Піпих и применение АЮ$ (вместо 
изег) для реализации безопасности в файле ѕтЫ. соп. 

Преимущество централизованной аутентификации заключается в том, что 
пользователи должны помнить только один набор учетных данных для всего пред- 
приятия, а системные администраторы — управлять меныпим количеством учетных 
записей пользователей. 


Резюме 


Из-за популярности настольных компьютеров Міпіоуѕ серверы Ѕатђа стали 
чаще всего использоваться для обмена файлами и принтерами между системами 
М/ш4о\$ и гих. Сервер ЗатБа предоставляет способ взаимодействия с системами 
М/т4о\з путем реализации протокола Ѕегуег Меззазе Воск ($МВ) или Соттоп 
Тпсегпе ЕЦе (СТЕЗ) для совместного применения ресурсов по сети. 

В этой главе описаны установка, запуск, защита, настройка и получение доступа 
к серверам Ѕатђа в системе Глпих. Используя инструменты командной строки, 
я продемонстрировал, как настроить сервер Ѕатђа. Я также показал как инстру- 
менты командной строки, так и инструменты рабочего стола для открытия доступа 
к общим ресурсам Ѕатђа из систем Глпах и Міро. 

В следующей главе описывается Меб\уогК Ее Зузбет (МЕЅ, сетевая файловая 
система). МЕЅ — это функция Глпих, созданная для совместного использова- 
ния и монтирования файловых систем с другими системами Шпих и ОМІХ с по- 
мощью сетей. 


Упражнения 


Упражнения в этом разделе относятся к задачам, связанным с настройкой сервера 
Ѕатђа в пих и получения доступа к нему с помощью клиента Ѕатђа. Как и ра- 
нее, большинство упражнений можно решить несколькими способами. Поэтому 
не волнуйтесь, если вы получили те же результаты, какие показаны в ответах, но 
выполнили упражнения не так. В приложении Б представлены варианты решения 
упражнений. 

Не выполняйте задания в системе Глпих, работающей на сервере Ѕатђа, потому 
что они могут навредить работе сервера. Эти упражнения протестированы на си- 
стеме Еейога. Для других систем шаги выполнения могут отличаться. 


1. Установите пакеты ѕатба и ѕатра-с1іепё. 
2. Запустите и подключите службы ѕтЬ и пть. 


3. Установите рабочую группу сервера ЗатБа в значение ТЕЗТСВОЧР, имя пе 610$ — 
в значение МУТЕЗТ, а строку сервера — в значение Ѕатба Те$* 5уз{ем. 

4. Добавьте в свою систему пользователя Глпах с именем рћі1, а также пароль 
Глпах и пароль Ѕатђа для него. 


10. 
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Установите раздел [Номез] таким образом, чтобы домашние каталоги были 
доступны для просмотра (уеѕ) и записи (уез), а рћі1 стал единственным до- 
пустимым пользователем. 


Установите любой логический тип ЗЕПпих, необходимый для того, чтобы поль- 
зователь рћ1і1 мог получить доступ к своему домашнему каталогу через клиент 
ЅатБа, а затем перезапустите службы $16 и птЬ. 


В локальной системе применяйте команду зтЬс11еп+, чтобы указать, что до- 
машний общий ресурс доступен. 


Из окна Маш из (Файлы) в локальной системе подключитесь к домашнему 
общему ресурсу пользователя рћі1 на локальном сервере ЗатБа таким образом, 
чтобы можно было перетаскивать файлы в эту папку. 


Откройте брандмауэр, чтобы любой имеющий доступ к серверу мог получить 
доступ к службе Ѕатђа (демоны зтба и птба). 

Из другой системы в вашей сети (\Лпао\з или лпих) снова откройте общий 
ресурс [ћотеѕ] от имени пользователя рћі1 и убедитесь, что можете перетаски- 
вать в него файлы. 


Настройка 
МЕ5-сервера 


В этой главе 


и Программное обеспечение для сервера МЕ5. 

и Подключение и запуск сервера МЕб. 

и Экспорт каталогов сервера МЕ5. 

и Настройка функций безопасности для сервера М№Е5. 


и Монтирование удаленных общих каталогов 
сервера МЕЅ. 


Вместо обозначения устройств хранения данных буквами (А, В, С ит. д.), как про- 
исходит в операционных системах МісгоѕоЁ, системы Глпих объединяют файловые 
системы с нескольких жестких дисков, ОЗВ-накопителей, СО-КОМ и других 
локальных устройств в единую файловую систему Глпих. Протокол М№ебуогк Ее 
бузешт (МЕЅ) позволяет расширить файловую систему Піпих для подключения 
файловых систем других компьютеров к локальной структуре каталогов. 
Файловый сервер МЕ$ обеспечивает простой способ обмена большими объ- 
емами данных между пользователями и компьютерами на предприятии. Админи- 
стратор системы Глпих, настроенной для совместного применения своих файловых 
систем с помощью сервера МЕЅ, должен выполнить следующие настройки М№ЕЅ. 


1. Настроить сеть. Протокол МЕЅ обычно задействуется в частных сетях, а не 
в публичных, таких как Интернет. 

2. Запустить службу МЕ$. Чтобы полноценно подключить службу МЕ$, необ- 
ходимо активизировать несколько ее демонов. В системах Еедога и Кеа Наб 
Епбегри1зе Глпах можно запустить службу командой п $5егуег. 


3. Выбрать, чем делиться на сервере. Решите, какие каталоги (папки) на своем 
сервере Ііпих МЕЅ сделать доступными для других компьютеров. Вы можете 
выбрать в файловой системе любую точку и сделать все файлы и каталоги ниже 
ее доступными для других компьютеров. 
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4. Обеспечить безопасность сервера. Применяйте различные функции безопас- 
ности, чтобы установить наиболее подходящий уровень безопасности. Безопас- 
ность на уровне монтирования позволяет ограничить компьютеры, которые 
могут монтировать данные на сервере, и для тех, кому разрешено монтировать 
его, — указать, может ли он быть смонтирован только для чтения/записи или 
только для чтения. Безопасность на уровне пользователя реализуется сопо- 
ставлением пользователей из клиентских систем с пользователями на сервере 
МЕЗ (на основе ОТ, а не имени пользователя), чтобы они могли полагаться 
на стандартные разрешения Глпиах на чтение/запись/выполнение, владение 
файлами и групповые права доступа к файлам и их защиты. 


5. Смонтировать файловую систему на клиенте. Каждый клиентский компью- 
тер, которому разрешен доступ к общей файловой системе МЕЅ сервера, может 
монтировать ее в любом месте по выбору. Например, можете смонтировать 
файловую систему с компьютера под названием оак в каталоге /тпё/оак своей 
локальной файловой системы. После монтирования вы сможете просмотреть 
содержимое этого каталога, набрав команду 15 /тпё/оак. 


Хотя этот сервер часто применяется в качестве файлового (или другого типа), 
Глпих является операционной системой общего назначения, поэтому любая систе- 
ма пих может совместно использовать или экспортировать файловые системы 
в качестве сервера или задействовать файловые системы другого компьютера 
(монтировать) в качестве клиента. Фактически системы Кеа На Ещегриве Глпих 8 
и Еедога 30 У!огк$баНоп включают в себя службу пЕѕ - зегуег по умолчанию. 


ПРИМЕЧАНИЕ 


Файловая система обычно представляет собой структуру файлов и каталогов, которая существует на одном 
устройстве (например, на жестком диске или (0). Термин «файловая система Мпих» относится ко всей структуре 
каталогов (которая может включать файловые системы из нескольких разделов диска, №5 или различных сете- 
вых ресурсов), начиная с каталога гоої (/) на одном компьютере. Общий каталог в №ЕЅ может представлять собой 
всю файловую систему компьютера или ее часть, которые могут быть присоединены (из общего каталога вниз по 
дереву каталогов) к файловой системе другого компьютера. 


Если в вашей системе уже запущены службы МЕЗ и Соскрії, вы можете монти- 
ровать общие ресурсы МЕЅ и просматривать смонтированные общие ресурсы из 
веб-интерфейса Соскри. Вот как это сделать. 


1. Войдите в свой аккаунт в интерфейсе Соскри (порт 9090) через браузер и перей- 
дите на вкладку Ѕіогаде (Хранилище). ОКІ -адрес для доступа к хранилищу 
в службе СосКрЁ в локальной системе должен быть примерно таким: И&рэ:// 
Во$1.ехатре.сот:9090/5{югаде. 


2. Если в вашей системе есть смонтированные общие ресурсы МЕ$, они должны 
появиться в разделе монтирования МЕ$. На рис. 20.1 показаны два подключен- 
ных общих ресурса МЕЅ. 
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Д наро воры ое 


АЕО НАТ ЕМТЕЋРАІЗЕ ШОХ 


@ авот 


Рис. 20.1. Общие ресурсы М№ЕЅ монтируются локально через веб-интерфейс Соскри 


3. Чтобы смонтировать удаленный общий ресурс МЕЅ, выберите знак плюс (+) 
в строке МЕб Моим ( Монтирование МЕЅ). Введите адрес или имя хоста сервера 
МЕЗ, общий каталог на общем ресурсе МЕЅ и точку в локальной файловой 
системе, где будете монтировать общий ресурс. Затем нажмите кнопку Ада 
(Добавить) (рис. 20.2). 


ВЕО НАТ ЕМТЕЯРКІЅЕ ЦМИХ 


а теі8.01 


Мем МР5 Моите 


192.168.122.240 
ег | Ммәг/орд 


Ммапоріторе 
Зкогаре 


па (9 Мемти аи Боос 
(О моют геад опу 


(О созот тошм ор 


Рис. 20.2. Добавление новой точки монтирования МЕ5 
через веб-интерфейс Соскріє 


На этом этапе вы получаете доступ к содержимому удаленного общего ресурса 
МЕЅ из точки монтирования в локальной файловой системе. По умолчанию ин- 
формация о монтировании МЕ$ добавляется в файл /еєс/Ғѕ+аБ, поэтому общий 
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ресурс МЕЅ будет доступен при каждой перезагрузке системы. Теперь, после того 
как мы рассмотрели простейший способ применения МЕ$, поговорим о том, как 
настраивать и использовать МЕЗ с нуля. 


Установка сервера МЕ$ 


Чтобы запустить сервер МЕЅ, вам нужны набор модулей ядра (они поставляются 
вместе с самим ядром), а также инструменты пользовательского уровня для на- 
стройки службы, запуска демонов и запроса службы различными способами. 

Для более ранних версий дистрибутивов Еейога и ВНЕТ. необходимые компо- 
ненты, которых нет в ядре, можно добавить, установив пакет п5-и{ 11$. В ВНЕГ. 8 
и Еедога 30 необходимые компоненты включены в установку по умолчанию сле- 
дующей командой: 


# ушт іпѕъа11 п#5-и+115 


Помимо нескольких документов в каталоге /иѕг/ ѕһаге/аос/пёѕ-и+115, большая 
часть документации, содержащейся в пакете пЁѕ -иєї15, включает в себя справочные 
страницы различных его компонентов. Чтобы перечислить список документов, 
введите команду: 


# грт -аа п#5-ие115 | 1е55 


Существуют инструменты и справочные страницы как для сервера МЕЅ (со- 
вместная с другими пользователями работа с каталогом), так и для клиентов МЕЅ 
(локальное монтирование удаленного каталога МЕЅ). Чтобы настроить сервер, вы 
можете обратиться к справочной странице экспорта (чтобы настроить файл /еёс/ 
ехрогёѕ для совместного применения ваших каталогов). На справочной странице 
команды ехрог+#ѕ описано, как совместно использовать и просматривать список 
каталогов, которыми вы делитесь из файла /ес/ехрог+ѕ. Справочная страница 
пғѕа описывает параметры, которые можно передать демону сервера грс.п#ѕа, что 
позволит запускать сервер в режиме отладки. 

Справочные страницы на стороне клиента включают страницу тоипё . пЁѕ, что- 
бы узнать, какие параметры можно задействовать при монтировании удаленных 
каталогов МЕЗ в локальной системе. Существует также справочная страница 
пѕтоип . сопе, которая описывает, как использовать файл /еёс/п#ѕтоипі . соп+ для 
настройки поведения вашей системы при локальном монтировании удаленных 
ресурсов. На справочной странице Помтоип* описано, как применять команду 
ѕһомтоипё для просмотра общих каталогов, доступных с серверов МЕЅ. 

Чтобы просмотреть информацию и больше узнать о пакете п#ѕ -иёі15, его фай- 
лах конфигурации и командах, введите соответственно команды: 

# грт -491 п5-и{115 
# грт -ас п#5-и+115 
# грт -91 п$-и115 | егер біп 
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Запуск службы МР5 


Запуск сервера МЕЅ включает в себя запуск нескольких демонов. Базовая служба 
МЕ в системах Еейога и КНЕТ. 8 называется п#ѕ- ѕегуег. Чтобы запустить эту 
службу, включите ее (чтобы она запускалась каждый раз при загрузке системы) 
и проверьте состояние, выполнив следующие три команды: 


# ѕуѕіетс+1 ѕЕаг п#5-ѕегмег. ѕегуісе 
# зузфетсЕ1 епаБ1е п#5-ѕегуег.ѕегмісе 
# зузфетсЕ1 эфафи$ п#5-ѕегуег.ѕегмісе 
• пЕ5-сегуег. егу1се — МЕ5 зегуег апа ѕегуісеѕ 
[оадеЯ: 1оа4еа (/116/ѕуѕёета/ ѕуѕёет/п#ѕ-ѕегуег.ѕегуісе; епаб1еа 
уепаог ргеѕе: аіѕаБ1еа) 
Асііуе: асііме (ехі+еа) ѕіпсе Моп 2019-9-02 15:15:11 Ерт; 245 аро 
Маіп РТО: 7767 (сойе=ехіїеа, ѕ+аиѕ=0/50ССЕ55) 
Таѕкѕ: @ (1іті+: 12244) 
Метогу: ёв 
Сбгоир: /ѕуѕёет. ѕ51ісе/п#ѕ-ѕегуег.ѕегуісе 


Из состояния строки видно, что служба пЕѕ -ѕегуее включена и активна. Служба 
МЕЅ требует также, чтобы служба ВРС была запущена (грсЬ1па). Служба п#ѕ- 
зегуег автоматически запускает службу грсђіпа, если это еще не было сделано. 

В системе Кеа Наё Епѓегргіѕе Піпих 6 для проверки, запуска и включения служ- 
бы МЕЅ (п#ѕ) понадобятся команды ѕегуісе и сһксопғів. Следующие команды 
показывают, что в данный момент служба пЕѕ не работает и отключена: 


# зегу1се п#5 $Фафи$ 

грс.5\с5$$4 1$ ѕіорреа 

грс.тоипёа 1$ ѕёорреа 

пҒѕа 15 $форреа 

# сһксопҒіє --1151 п#5 

п+5 Ө:оҒЕ 1:0ҒЕ 2:0ҒҒ З:ОоҒҒ 4:0 5:0ҒҒ 6:04 


Как упоминалось ранее, для работы МЕЅ должна быть запущена служба грсбіпа. 
В системе КНЕТ. 6 можно использовать следующие команды для запуска и посто- 
янного включения служб грсбіпа и п: 


# зегу1се гсрріпа ѕ+агі 
Ѕ+агііпе грсбіпа: ок |] 
# зегу1се п#5 ѕ+агё 


Ѕагііпв №5 ѕегуісеѕ: Г К |] 
Ѕ+агііпв №5 дио+аѕ: Г К |] 
Ѕ+агііпв МЕ5 Чаетоп: Г ок |] 
Ѕ+агііпв №5 тоип&а: ок |] 


# сһксопғіє грсбіпа оп 
# сһксопҒіє п#5 оп 


Команды (тоџпё, ехрог +5 и т. д.) и файлы (/еёс/ехрогіѕ, /еёс/Ғѕ+аб и т. д.) на- 
стройки службы в основном одинаковы для всех систем Ііпих. Итак, после того, 
как вы установили и запустили МЕ$, просто следуйте инструкциям, приводимым 
в этой главе, чтобы начать применять службу. 


Глава 20. Настройка М№Е5-сервера 561 


Совместное использование 
файловых систем М№Е5 


Чтобы совместно работать с файловой системой МЕЗ из системы пих, необходимо 
экспортировать ее с сервера. Экспорт осуществляется в Піпих путем добавления 
записей в файл /еёс/ехрог+ѕ. Каждая запись определяет каталог в локальной фай- 
ловой системе, который нужно задействовать совместно с другими компьютерами. 
Эта запись также определяет другие компьютеры, которые могут получить доступ 
к ресурсу (или открывают его для всех компьютеров), и включает другие параме- 
тры с правами на каталог. 

Помните: когда вы делитесь каталогом, то делитесь также всеми файлами и под- 
каталогами, расположенными ниже этого каталога (по умолчанию). Вы должны 
быть уверены, что хотите поделиться всем в этой структуре каталогов. И все еще 
можете ограничить доступ к этой структуре каталогов несколькими способами, они 
будут описаны далее в этой главе. 


Настройка файла /еіс/ехрогіѕ 


Чтобы сделать каталог из системы Глпих доступным для других систем, нужно экс- 
портировать его. Экспорт осуществляется на постоянной основе путем добавления 
информации об этом каталоге в файл /еёс/ехрог+ѕ. 

Вот как это должно выглядеть: 


Ррірес+оғгу НоѕЕ (ОрЕіопѕ ...) НоѕЕ ( ОрТїіопѕ ...) # Соттепёѕ 


В этом примере ріпестоғу — имя каталога, к которому предоставляется общий 
доступ, а Ноѕ — клиентский компьютер, на котором ограничен общий доступ 
к этому каталогу. Ор{1оп5 может включать в себя множество параметров опреде- 
ления мер безопасности, прикрепленных к общему каталогу для хоста. (Пары Ноѕё 
и Ор1оп можно повторять.) Соттеп*$ — это любые необязательные комментарии 
(после знака #). 

Справочная страница ехрогіѕ (тап ехрогїѕ) содержит подробную информацию 
о синтаксисе файла /еёс/ехрог+ѕ. В частности, в ней находятся параметры, которые 
можно использовать для ограничения доступа к каждому общему каталогу и его 
защиты. 

Как суперпользователь задействуйте любой текстовый редактор для настройки 
файла /ес/ехрог+ѕ и изменения записей общего каталога или добавления новых. 
Пример файла /еёс/ехрог+ѕ: 


/са1 *.11пихфоу$ .пеЕ(ги) # События компании 
/риб * (го, іпѕесиге,а11 ѕдаиаѕһ) # Общедоступный каталог 
/поте пар1е (гм, гоо _ѕдчаѕћ) зргисе (гм, гоо ѕдиаѕћһ) 


Строка /са1 представляет собой каталог, содержащий информацию о событиях, 
связанных с компанией. Любой компьютер в домене компании (*.14пихфоу$ .пет) 
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может монтировать этот общий ресурс МЕЅ. Пользователи могут записывать файлы 
в каталог, а также читать их (об этом говорит параметр гм). Комментарий (# Собы- 
тия компании) просто служит напоминанием о том, что находится внутри каталога. 

Строка /риб представляет собой общедоступный каталог. Он позволяет любому 
компьютеру и пользователю читать файлы из каталога, указанного параметром, 
но не записывать файлы. Параметр іпѕесиге позволяет любому компьютеру, даже 
тому, который не задействует безопасный порт МЕЅ, получить доступ к каталогу. 
Параметр а11 _заца$Н сопоставляет всех пользователей (0Ір) и все группы (віа) 
с пользователем поБоду (ЦТО 65534), предоставляя им минимальные права доступа 
к файлам и каталогам. 

Запись /һоте позволяет группе пользователей иметь один и тот же каталог 
/һоте на разных компьютерах. Предположим, что вы совместно применяете 
каталог /һоте с компьютера с именем оак. Компьютеры по имени тар1е и ргисе 
могут смонтировать эту папку на свой каталог /һоте. Если бы вы дали всем 
пользователям одинаковое имя /0ІР на всех компьютерах, у вас мог бы быть 
один и тот же каталог /һоте/, доступный для любого пользователя независимо 
от того, с какого компьютера он вошел. Параметр Воо*_5ача$И применяется для 
исключения суперпользователя с другого компьютера из права доступа гоої 
к общему каталогу. 

Это всего лишь примеры, вы можете совместно задействовать любые каталоги, 
которые выберете, включая всю файловую систему (/). Конечно, существуют и по- 
следствия для безопасности совместного использования всей файловой системы 
или ее частей, таких как каталог /еёс. Параметры безопасности, которые можно 
добавить в файл /еёс/ехрог+ѕ, описаны в следующих разделах. 


Имена хостов в файле /еіс/ехрогѕ 


Вы можете указать в файле /еёс/ехрог+ѕ, какие хост-компьютеры будут иметь до- 
ступ к вашему общему каталогу. Если хотите связать несколько имен хостов или 
ТР-адресов с определенным общим каталогом, обязательно оставьте пробел перед 
каждым именем хоста. Однако не добавляйте пробелы между именем хоста и его 
параметрами, например: 


/иѕг/1оса1 тар1е(ги) ѕргисе(го, гоо _ѕдиоаѕћ) 


Обратите внимание на то, что после (гм) есть пробел, а после тар1е его нет. 
Хосты можно идентифицировать несколькими способами. 


® Отдельный хост. Введите одно или несколько имен хостов ТСРИТР или ІР- 
адресов. Если хост находится в локальном домене, вы можете просто указать 
имя хоста. В противном случае используйте полный формат ћһоѕ+. аотаіп. 
Допустимые формы указания отдельных хост-компьютеров: 
тар1е 


тар1е.һапаѕопһіѕогу. сот 
10.0.0.11 
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ө ТР-адрес. Разрешите доступ ко всем хостам с определенного сетевого адреса, 
указав номер и маску сети, разделенные косой чертой (/). Допустимые способы 
обозначения сетевых номеров: 
10.0.0.0/255.0.0.0 172.16.0.0/255.255.0.0 


192.168.18.0/255.255.255.0 
192.168.18.0/24 


® Домен ТСР/ТР. Используя подстановочные знаки, вы можете включить доступ 
ко всем или некоторым хост-компьютерам с определенного уровня домена. Вот 
некоторые из допустимых вариантов применения подстановочных знаков * и ?: 
* .ПапазопИ1 $ огу . сом 


*сгатЕ .һапаѕопһіѕ+огу. сот 
2??.ПапазопИ1 $ огу . сом 


Первый пример соответствует всем хостам в домене һапаѕопћіѕёогу.сот. Второй 
соответствует моойсгаё, бБаѕкеёсга#є или любым другим именам хостов, окан- 
чивающимся на сга+%, в домене һапіѕопћіѕіогу.сот. Последний пример соответ- 
ствует любому трехбуквенному имени хоста в домене. 


ө Группы №еуогКк шЮгтайоп Ѕегуісе (№$, информационная служба сети). 
Вы можете разрешить доступ к узлам, содержащимся в группе М$. Чтобы указать 
группу №$, перед именем группы поставьте знак «эт» (@) (например, @вгоир). 


Параметры доступа в файле /еіс/ехрогіѕ 


Нет необходимости просто открывать доступ к своим файлам и каталогам при 
экспорте каталога с помощью МЕ$. В разделе параметров каждой строки в файле 
/еёс/ехрогіѕ можно добавить параметры, разрешающие или ограничивающие до- 
ступ, установив права на чтение/запись. Параметры, которые передаются в МЕЗ: 


© го. Клиент может монтировать эту экспортированную файловую систему 
только для чтения. По умолчанию файловая система монтируется для чтения/ 
записи; 


® ги. Запрашивает общий каталог с правами на чтение и запись. (Если клиент 
выбирает этот вариант, он все равно может смонтировать каталог только для 
чтения.) 


Параметры отображения пользователя 
в файле /еіс/ехрогіѕ 


В дополнение к параметрам, определяющим, как обрабатываются права в целом, 
можно применять параметры для установки прав, которые имеют определенные 
пользователи, для общих файловых систем МЕ$. 

Один из методов, упрощающих этот процесс, состоит в том, чтобы каждый поль- 
зователь с несколькими учетными записями имел одни и те же имя пользователя 


564 Часть М • Администрирование серверов в Шпих 


и ОО на всех компьютерах. Это упрощает сопоставление пользователей, и они 
будут иметь одни и те же права доступа к подключенной файловой системе и к фай- 
лам, хранящимся на их локальных жестких дисках. Если этот метод неудобен, 
Т” пользователей можно сопоставить со множеством других способов. Вот вариант 
настройки прав пользователя и параметра /еёс/ехрогіѕ, который применяется для 
каждого метода. 


© гооѓ-пользователь. Суперпользователь клиента по умолчанию сопоставляется 
с именем пользователя пободу (ОТО 65534). Это не позволяет суперпользо- 
вателю клиента изменять все файлы и каталоги в общей файловой системе. 
Если вы хотите, чтобы он имел права гооб на сервере, примените параметр 
по_гооЁ _ѕдиаѕћ. 


СОВЕТ 


Имейте в виду, что даже если права суперпользователя ограничены, суперпользователь из клиента все равно 
может стать любой другой учетной записью пользователя и получить доступ к файлам этих учетных записей на 
сервере. Поэтому убедитесь, что вы доверяете суперпользователю все свои пользовательские данные, прежде 
чем делиться ими для чтения/записи с клиентом. 


® Группа /пользователь піѕпођойу или пободу. Указывая ІЮ пользователя 65534 
и ІШ группы, вы, по сути, создаете пользователя /группу с правами, которые 
не разрешают доступ к файлам, принадлежащим каким-либо реальным пользо- 
вателям на сервере, если только они не открывают доступ всем. Однако файлы, 
созданные пользователем или группой 65534, доступны любому пользователю 
или группе 65534. Чтобы установить всех удаленных пользователей на Г 65534, 
примените параметр а11_ѕаиаѕћ. 


С помощью ОТО и СТО 65534 предотвращают слияние идентификатора с дей- 
ствительным идентификатором пользователя или группы. Взяв параметры 
апопи1 4 и апопвіа, вы можете изменить пользователя или группу 65534 соот- 
ветственно. Например, апопи19=175 устанавливает для всех анонимных поль- 
зователей ОТО 175, а апопвій=300 задает для СТО значение 300. (При указании 
прав файла отображается только номер, если вы не добавляете строки с именами 
новых ОТО и СТО в файлы /еёс/раѕѕма и /еЕс/вгочр.) 


© Сопоставление пользователей. Если у пользователя есть учетные записи входа 
на нескольких компьютерах (и один и тот же идентификатор), сервер МЕЅ по 
умолчанию сопоставляет этот идентификатор. Это означает, что, если пользо- 
ватель с именем тіке (ОТО 110) на компьютере тар1е имеет учетную запись на 
ріпе (тіке, ОТО 110), он может работать с собственными удаленно смонтиро- 
ванными файлами на любом компьютере. 


Если клиентский пользователь, не настроенный на сервере, создает файл в смон- 
тированном каталоге МЕ$, этот файл присваивается ОТО и СІР удаленного 
клиента. (То есть команда 1$ -1 на сервере показывает ОТО владельца.) 
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Экспорт общих файловых систем 


После добавления строк в файл /еїс/ехрогіѕ выполните команду ехрог $, чтобы 
экспортировать эти каталоги (сделать их доступными для других компьютеров 
в сети). Перезагрузите компьютер или перезапустите службу МЕЅ, и команда 
ехрогЕ $ автоматически запустится и начнет экспортировать каталоги. Если вы 
хотите экспортировать их немедленно, запустите ехрогї#ѕ из командной строки 
(от имени суперпользователя). 


СОВЕТ 


Запустите команду ехрой® после изменения файла экспорта. Если в файле есть какие-либо ошибки, команда их 
найдет и идентифицирует. 


Пример вывода команды ехрог $: 
# /чзг/$61п/ехрогЕ+$ -а -г -м 
ехрогііпе тар1е: /риб 
ехрогііпе ѕргисе: /рир 
ехрогііпе тар1е: /һоте 
ехрогііпе ѕргисе: /Поте 
ехрогііпе * : /мпе/міп 


Параметр -а указывает на то, что все каталоги, перечисленные в файле /еёс/ 
ехрог+$, должны быть экспортированы. Параметр -г повторно синхронизирует все 
действия экспорта с текущим файлом /еёс/ехрогіѕ, отключая действия, которых 
больше нет в файле. Параметр -у делает подробный вывод после выполнения 
команды. В этом примере каталоги /рир и /поте с локального сервера сразу же 
становятся доступными для монтирования клиентскими компьютерами, которые 
имеют имена (тар1е и ргисе). Каталог /тпё/міп доступен для всех клиентских 
компьютеров. 


Защита сервера МЕ$ 


Функция МЕ$ была создана в то время, когда шифрование и другие меры без- 
опасности обычно не встраивались в сетевые службы, такие как удаленный вход 
в систему, общий доступ к файлам и удаленное выполнение. Поэтому сервер МЕ$ 
(даже до версии 3) имеет несколько недопустимых проблем с безопасностью. 

Проблемы с безопасностью МЕ$ сделали службу неподходящим средством для 
использования в общедоступных сетях и даже затруднили безопасное применение 
внутри предприятия. Перечислю некоторые из этих проблем. 


® Удаленные суперпользователи. Даже с помощью команды поо _ѕдџиаѕћ по 
умолчанию, которая запрещает суперпользователям иметь корневой доступ 
к удаленным общим ресурсам, суперпользователь любого компьютера, которому 
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предоставлен общий доступ к каталогам МЕЅ, может получить доступ к любой 
другой учетной записи пользователя. Поэтому, если вы обмениваетесь домаш- 
ними каталогами с правами на чтение/запись, суперпользователь на любом под- 
ключенном компьютере имеет полный доступ к содержимому этих домашних 
каталогов. 


® Незашифрованные сообщения. Поскольку трафик МЕЅ не зашифрован, любой, 
кто лазит по вашей сети, может видеть передаваемые данные. 


® Сопоставление пользователей. По умолчанию права для общих ресурсов МЕЅ 
отображаются по ІО пользователя. Так, например, пользователь с ОТО 1000 на 
клиенте МЕЅ имеет доступ к файлам, принадлежащим 01р 1000 на сервере 
М№ЕЅ. Это происходит независимо от применяемых имен пользователей. 


® Открытая структура файловой системы. До версии МЕБ 3, если вы совместно 
задействовали каталог через службу МЕЅ, вы раскрывали местоположение этого 
каталога в файловой системе сервера. (Другими словами, если вы поделились 
каталогом /уаг/и++, клиенты будут знать его точное местоположение на ва- 
шем сервере.) 


Это были плохие новости. Хорошей новостью является то, что большинство 
этих проблем решаются в версии МЕЅ 4, но требуют дополнительных настроек. 
Интегрируя поддержку КегБегоз, МЕЅ 4 позволяет настраивать доступ пользо- 
вателей, предоставляя каждому из них билет КегБђегоѕ. Однако для этого нужно 
настроить сервер Кегего$. Что касается предоставления доступа к общему рас- 
положению МЕ$З, то с помощью МЕЗ 4 вы можете привязать общие каталоги к ка- 
талогу /ехрогеѕ, поэтому, когда они станут общими, точное местоположение этих 
каталогов не будет раскрыто. 

Посетите сайт Нар. ибипеи.сот/соттипйу/МЕбу4Номиогог, чтобы подробно узнать 
о функциях МЕ$ 4 в дистрибутиве ОЪипќи. 

Что касается стандартных функций безопасности Глпах, связанных с МЕ$, то 
брандмауэры ір+аб1еѕ, ТСР-оболочки и система ЅЕ11іпих играют определенную 
роль в обеспечении безопасности и предоставлении доступа к серверу МЕЅ с уда- 
ленных клиентов. В частности, могут быть полезными функции брандмауэра, 
работающие с МЕЅ, однако их настройка может оказаться особенно сложной. Эти 
функции безопасности описаны в следующих подразделах. 


Настройка брандмауэра для МЕ5-сервера 


Служба МЕЅ полагается на несколько разных демонов, причем большинство из 
них прослушивают различные порты для доступа к службе. Для версии МЕЗ 4, 
по умолчанию, используемой в системе Еейога, порты ТСР и ОПР 2049 (п+5) 
и 111 (грсбіпа) должны быть открыты. Сервер должен открыть также порты ТСР 
и ОРЮР 20048 для команды ѕһом-тоипё, чтобы иметь возможность запрашивать до- 
ступные общие каталоги МЕЅ из команды грс.тоипта на сервере. 

Для КНЕГ 8, Еейога 30 и других систем, использующих службу +1гема11а, вы 
можете применить окно Ргема! (Межсетевой экран) (ушт 1п$%а11 Ғіпема11-сопғір), 


Глава 20. Настройка М№Е5-сервера 567 


чтобы открыть брандмауэр для службы МЕЅ. Введите +1геша11-соп+1в, затем убе- 
дитесь, что в окне установлены флажки тоит@, п и грсЫпа, которые открывают 
соответствующие порты службе МЕЅ. На рис. 20.3 показан пример этого окна. 


2 Еігемаі! Сопӣдигайоп (оп Но5{1.ехатр!е.сот) 
Ре Орбопѕ Міем Нер 


Сопћӯдигаќоп: | Регтапепё ғ 


2опеѕ Ѕегуісеѕ 


А бгемаа гопе дейпез е Іеме! оѓ (гиѕї ѓог пебмогк соппесііопѕ, іпќегѓасеѕ апа ѕоџшгсе айдгеѕѕеѕ боџпа ќо {ће гопе. Тһе гопе 
сотЫпеѕ ѕегуісеѕ, рогёѕ, ргоќосоіѕ, гпаѕдиегайігд, рог/раскеё ѓогуғагаігд, {стр ЯКег5 апа гісћ гџіеѕ. Тће гопе сап Бе Боипд о 
іпёегѓасеѕ апа ѕоигсе аддгеѕѕеѕ. 


Мазѕдиегайіпд Рог Еогмагаіпо 


Боск 


бт2 Неге уоц сап дейпе мћісћ ѕегуісеѕ аге ігиѕ(ед іп {Пе гопе. Тгиѕ(ед ѕегуісеѕ аге ассеѕѕіЫе гот аі! 
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ФегаицК 2опе: ҒебогаМогкѕ{айоп оскаомп: біѕаЫеа Рапіс Моде: 45а ед 


Рис. 20.3. Используйте окно Еігемаії, чтобы открыть брандмауэру доступ к службе 


Для ВНЕГ 6 и других систем, задействующих службу іраб1еѕ напрямую (до 
появления Ғігема114), чтобы открыть порты на брандмауэре сервера МЕЅ, убеди- 
тесь, что 1реаб1ез включен и запущен с правилами брандмауэра, аналогичными 
следующим, добавленным в файл /еёс/ ѕуѕсопҒів/іріар1еѕ: 


-А ТМРОТ -т ѕ+ае --ѕ+абе МЕМ -т ср -р ср --Яӣрогі 111 -ј АССЕРТ 
-А ТМРОТ -т ѕ+а+е --ѕ+абе МЕМ -т иар -р чар --Ярогі 111 -ј АССЕРТ 
-А ІМРОТ -т ѕ+ае --ѕ+абе МЕМ -т %ср -р ср --Яӣрогі 2049 -ј АССЕРТ 
-А ІМРОТ -т ѕ+ае --ѕ+абе МЕМ -т иар -р оар --Ярогі 2049 -ј АССЕРТ 
-А ІМРОТ -т ѕёае --ѕ+абе МЕМ -т %ср -р ср --Яӣрогі 20048 -ј АССЕРТ 
-А ІМРОТ -т ѕ+а+е --ѕ+абе МЕМ -т иар -р оар --Ярогі 20048 -ј АССЕРТ 


В Кеа Наб Ерѓегргіѕе Глпих 6.х и более ранних версиях настройка брандмауэра 
немного сложнее. Проблема с брандмауэрами заключается в том, что существует 
несколько связанных с МЕЅ служб, которые прослушивают разные порты, назна- 
чаемые случайным образом. Чтобы обойти эту проблему, нужно заблокировать 
номера портов, использующих эти службы, и открыть брандмауэр, чтобы эти порты 
были доступными. 
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Для упрощения процесса блокировки портов сервера МЕЅ можно добавить стро- 
ку в файл /еёс/ѕуѕсопҒів/п#ѕ и назначить службам определенные номера портов. 
Далее приведены примеры параметров, содержащихся в файле /ес/ѕуѕсопғів/ 
пф5, с заданными статическими номерами портов: 


КОООТАР” РОАТ=49001 
ЕОСКО_ТСРРОВТ=49002 
ЕОСКО_ООРРОВТ=49003 
МОУМТО_РОВТ=49004 
$ТАТО_РОКТ=49005 
$ТАТЬ_ОУТбОТМ№ 6 РОКТ=49006 
КОМА_РОКТ=49007 


Установив эти порты, я перезапустил службу п5 (ѕегуїсе пЕѕ гезфаг®). Исполь- 
зуя команду пее${а\, в выводе вы увидите процессы, которые прослушивают на- 
значенные порты: 


{ср 0 е 0.0.0.0:49001 0.0.90.0:* ІЅТЕМ 4682/грс.гаио+аа 
{ср 0 Ө 0.0.0.0:49002 0.0.0.0:* 1ІЅТЕМ - 
{ср 9 0 0.0.0.0:49004 0.0.0.0:* 1ІЅТЕМ 4698/грс.тоип+а 
їср Ө Ө :::49002 зны ІЅТЕМ = 
ср Ө Ө :::49004 ее ІІЅТЕМ 4698/грс.тоип+а 
иар © 0 0.0.0.0:49001 0.0.0.0: * 4682/грс.гаио+аа 
иар 0 ө ө.ө.ө.ө:4900з 0.0.0.0:* - 
иар 9 е 0.0.0.0:49004 0.0.0.0: * 4698 /грс.тоипЕа 
иар 0 Ө :::49003 Чы - 
иар 0 Ө :::49004 Е 4698 /грс.тоипта 


Теперь, когда эти номера портов установлены и применяются различными 
службами, можете добавить правила ір+ар1еѕ, как было сделано с портами 2049 
и 111 для настройки базовой службы МЕЗ. 


Доступ к службе МЕб из ТСР-оболочек 


Для таких служб, как уз Ера и ѕѕһа, ТСР-оболочки в Ііпих позволяют добавлять 
информацию в файлы /еёс/һоѕ&ѕ.а11ом и /еЕс/Но$+$ .4епу, чтобы указать, какие 
хосты могут или не могут получить доступ к службе. Сам демон сервера п+$4 
не включен для ТСР-оболочек, но служба грсбіпа включена. 

Для МЕЗ З и более ранних версий просто добавьте в файл /еёс/һоѕїѕ.Яепу 
следующую строку, которая будет запрещать доступ к службе грсбіпа, а также 
к службе МЕБ: 


грсбіпа: АШ 


Однако для серверов под управлением версии МЕЗ 4 по умолчанию строка 
грсбіпа: АШ не позволяет внешним хостам получать информацию о службах ВРС 
(например, МЕЅ) с помощью таких команд, как ѕһћомтоип+. Но это не помешает 
монтировать общий каталог МЕ. 
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Настройка системы ЅЕШпих для сервера МЕЅ 


Если система 5Е пих находится в разрешающем или отключенном режиме, она 
не блокирует доступ к службе МЕЅ. Чтобы система работала в принудительном 
режиме, необходимо понимать, как работают логические типы. Чтобы проверить 
состояние ЗЕ тах в системе, введите следующее: 


# рећеп+огсе 

Епфогс1п8 

# ргер ^$ЕЁТМИХ= /еЁс/ѕуѕсопҒіе/ѕе1іпих 
ЗЕЕТМОХ=епфогс1п8 


Если система находится в принудительном режиме, как в примере, откройте 
справочную страницу п#$_5е14пих, чтобы получить больше информации о настрой- 
ках ЗЕ лпих, которые могут повлиять на работу службы уѕ#єра. Вот несколько 
контекстов файлов ЗЕГлпих, связанных с МЕ$, о которых необходимо знать. 


Ф пЕ5_ехроге_а11_го. С помощью этого логического типа ЗЕ тих позволяет обме- 
ниваться файлами с правами только на чтение на серверах МЕ$. Общий доступ 
к файлам МЕ$ только для чтения разрешен при этом независимо от контекста 
файла ЗЕТапах, установленного для общих файлов и каталогов. 


© пР5_ехрогЕ_а11_ги. С помощью этого логического типа 5 Епих позволяет 
обмениваться файлами с правами на чтение/запись с помощью МЕ$. Как 
и предыдущий логический тип, этот работает независимо от контекста файла, 
установленного для общих файлов и каталогов. 


Ф изе пҒѕ Һоте дігѕ. Чтобы МЕЅ-сервер мог делиться вашим домашним катало- 
гом, установите этот логический тип. 


Первые два из данных логических типов включены по умолчанию. Логический 
тип иѕе пЁѕ_ һоте дігѕ отключен. Чтобы включить каталог иѕе_ пЕѕ_һоте іг, 
можно ввести следующее: 


# ѕеїіѕероо1 -Р изе_п+$_Поте_41г$ оп 


Однако вы можете игнорировать все логические типы, связанные с общим до- 
ступом к файлам МЕЗ, изменив контексты файлов в файлах и каталогах, которыми 
хотите поделиться через МЕЅ. Контексты файлов риь1іс_ соп+епї_+ и риб11с_ 
сопёепї_гм_ е могут быть установлены в любом каталоге с доступом через МЕЅ или 
другие протоколы общего доступа к файлам, такие как НТТР, ЕТР и др. Напри- 
мер, чтобы установить правило, позволяющее совместно использовать каталог 
/мпафеуег и его подкаталоги для чтения/записи через МЕЅ, а затем применить это 
правило, введите следующее: 


# зетапаёе Рсопфехе -а - риБ1іс сопёепі гм Е "/мпа%еуег(/.*)?" 
# гезфогесоп -Е -В -м /мпа*жеуег 


Если вы хотите, чтобы пользователи могли просто читать файлы из каталога, но 
не записывать в него, вместо этого назначьте каталогу контекст риуб11с_сопфеп{*_+. 
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Файловые системы М№ЕЅ 


После того как сервер экспортирует каталог по сети через МЕЅ, клиентский ком- 
пьютер подключает этот каталог к собственной файловой системе с помощью 
команды тоип+. Это та же команда, которая применяется для монтирования фай- 
ловых систем с локальных жестких дисков, рУр и ОЅВ-накопителей, но с немного 
другими параметрами. 

Команда тоџпё позволяет клиенту автоматически монтировать каталоги МЕ, 
добавленные в файл /еєс/#ѕ+арб, точно так же, как это происходит с локальными 
дисками. Каталоги МЕЅ можно добавить в файл /еёс/Ғѕ+ар таким образом, чтобы 
они не монтировались автоматически (поэтому вы можете монтировать их вруч- 
ную). С параметром поаифо каталог МЕЅ, указанный в файле /ес/+#ѕ+ар, останется 
неактивным до тех пор, пока команда тоип* не будет использована после запуска 
системы для монтирования файловой системы. 

Кроме работы с файлом /еёс/#ѕ+ар вы можете установить параметры монти- 
рования с помощью файла /еёс/пѕ -тоипё. соп. В нем можно задать параметры 
монтирования, применимые к любому каталогу МЕЅ, который вы монтируете, 
или только к тем, которые связаны с определенными точками монтирования или 
серверами МЕЅ. 

Однако, прежде чем приступить к монтированию общих каталогов МЕ$, вы, 
вероятно, захотите проверить, какие общие каталоги доступны через МЕЅ, с помощью 
команды ѕһомтоип. 


Просмотр общих ресурсов МЕЅ 


В клиентской системе Глпах можно использовать команду $Помтоип*, чтобы уви- 
деть, какие общие каталоги доступны с выбранного компьютера, как в примере: 


$ зПомтоипЕ -е зегуег.ехатр1е . сот 
/ехрогї/туѕһаге с11еп{.ехатр1е . сот 
/тпё/рир1іс 


Вывод команды ѕһомтоип& показывает, что общий каталог с именем / ехрог?/ 
пуѕһаге доступен только хосту с1іепё.ехатр1е. сот. Однако общий каталог /тпё/ 
риб11с доступен всем. 


Монтирование файловой системы М№ЕЅ вручную 


После того как каталог с компьютера в вашей сети был экспортирован (то есть 
стал доступен для монтирования), можете монтировать его вручную с помощью 
команды тоип*. Это хороший способ убедиться в том, что каталог доступен и ра- 
ботает, прежде чем вы настроите его на постоянное монтирование. Далее приведен 
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пример монтирования каталога / $ и++ с компьютера с именем тар1е на локальном 
компьютере: 


# ткаіг /тпё/тар1е 
# тоипЕ тар1е: /ѕ+иҒҒ /тпе/тар1е 


Первая команда (пкаіг) создает каталог точки монтирования. (Каталог /тпё — 
это общее место размещения временно смонтированных дисков и файловых систем 
МЕЅ.) Команда тоипё идентифицирует удаленный компьютер и общую файловую 
систему, разделенную двоеточием (тар1е: /ѕ&0#+), а далее указан каталог локальной 
точки монтирования (/тпё/тар1е). 


ПРИМЕЧАНИЕ 


Если монтирование завершится неудачно, убедитесь, что служба № запущена на сервере и правила брандмауэ- 
ра сервера не запрещают доступ к ней. На сервере введите команду рѕ ах | дтер піѕӣ, чтобы просмотреть список 
процессов сервера па. Если вы не видите списка, запустите демоны МЕЅ, как описано ранее в этой главе. Чтобы 
просмотреть правила брандмауэра, введите ірќаБІеѕ -упі.. По умолчанию демон пб прослушивает запросы 
МЕЅ на порте 2049. Ваш брандмауэр должен принимать ОрР-запросы на портах 2049 (МЕ) и 111 (ЕРС). В Кеа Наї 
Епќегргіѕе пих 6 и более ранних версиях Еедога может потребоваться установить статические порты для связан- 
ных служб, а затем открыть порты для них в брандмауэре. См. раздел «Защита сервера МЕ» ранее в данной главе, 
чтобы узнать, как преодолеть эти проблемы безопасности. 


Чтобы убедиться, что монтирование МЕ$ завершено, введите команду тоипё 
- Е пѕ4. Она перечисляет все смонтированные файловые системы МЕЅ. Пример 
вывода команды тоип* (файловые системы, не относящиеся к этому обсуждению, 
удалены): 


# тоипЕ -Е п+$4 

192.168.122.240:/тпі оп /тпе/Ғеа Фуре п#54. 

(гм, ге1абіте , уег$=4.2,г$17е=262144 , м$17е=262144 , пат1еп=255 ,һага, 
ргоёо=ср,ітео=600, геїгапѕ=2, ѕес=5у5 , с1іепёаййг=192.168.122.63, 
1Іоса1 1оск=попе,аййг=192.168.122.240) 


Выходные данные команды тоипЁ -& пЁѕ4 отображают ТОЛЬКО файловые систе- 
мы, смонтированные с файловых серверов МЕЅ. Файловая система МЕЅ — это 
каталог /тпё с ІР-адреса 192.168.122.240 (192.168.122.240: / тп). Он монтиру- 
ется в каталоге /тпё/ еа, и его тип монтирования — это пЕѕ4. Файловая система 
была смонтирована для чтения/записи (гм), а ІР-адрес тар1е — это 92.168.122.240 
(айӣг=192.168.122.240). Приведены и другие параметры, связанные с монтирова- 
нием, такие как размеры пакетов для чтения и записи и номер версии МЕ$. 

Показанные ранее действия монтирования реализуют временное монтирование 
файловой системы МЕБ в локальной системе. В следующем разделе описывается, 
как сделать монтирование постоянным (с помощью файла /е+с/+$+аЬ) и выбрать 
различные варианты монтирования МЕ$. 
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Монтирование файловой системы МЕб 
во время загрузки 


Чтобы настроить файловую систему МЕЅ на автоматическое монтирование в за- 
данной точке при каждом запуске системы Глпих, необходимо добавить соответ- 
ствующую строку для этой файловой системы в /еёс/#ѕ+ар. Этот файл содержит 
информацию обо всех типах монтируемых (и доступных для монтирования) фай- 
ловых систем вашей системы. 

Формат добавления файловой системы МЕ$ в локальную систему: 


рВо5Е: Тгестогу тоипЕроїпЕ п#ѕ ороп5 Ө Ө 


Первый элемент (ро$#: а1гесфогу) идентифицирует компьютер сервера МЕЅ 
и общий каталог, тоипёроїпё — это локальная точка монтирования, в которую мон- 
тируется каталог МЕЅ. После них указывается тип файловой системы (п+$5). Все па- 
раметры, связанные с монтированием, отображаются рядом в списке, разделенном 
запятыми. (Последние два нуля настраивают систему на то, чтобы не сбрасывать 
содержимое файловой системы и не запускать в ней команду #5сК.) 

Далее приведены примеры строк МЕЗ в файле /еёс/#ѕ+аб: 


пар1е: /5+ч++ /тпё/тар1е п#ѕ Бе, гѕі2е=8192 , м517е=8192 
оак: /аррѕ /оак/аррѕ п#ѕ поаи+о, го 


ее 
ее 

В первом примере удаленный каталог / зи++ компьютера тар1е (тар1е : / ѕиҒҒ) 
монтируется в локальный каталог /тпё/тар1е (он уже должен существовать). Если 
монтирование завершается неудачно из-за недоступности общего ресурса, команда 
бє заставляет процесс монтирования перейти в фоновый режим и повторить по- 
пытку позже. 

Тип файловой системы — п{$, а размеры буферов чтения (г$17е) и записи 
(мѕіғе) (описаны в пункте «Параметры монтирования» далее в этом подразделе) 
устанавливаются равными 8192 скорости передачи данных, связанной с этим со- 
единением. Во втором примере удаленным каталогом является /аррѕ на компью- 
тере с именем оак. Он настроен как файловая система МЕЅ (п+5), которая может 
быть смонтирована в каталоге /оак/аррѕ локально. Однако эта файловая система 
не монтируется автоматически (поаиїо) и может быть смонтирована только для 
чтения (го) с помощью команды моип* после запуска системы. 


СОВЕТ 


По умолчанию файловая система №ЕЅ монтируется на чтение/запись. Однако она экспортируется по умолчанию 
с доступом только для чтения. Если вы не можете выполнить запись в файловую систему М№ЕЅ, убедитесь, что она 
была экспортирована с сервера с доступом на чтение/запись. 


Монтирование файловых систем поащо 


Файл /ес/Ғѕ+аб также может содержать устройства для других файловых систем, 
которые не монтируются автоматически. Например, это могут быть несколько 
разделов на жестком диске или общая файловая система МЕ$, которую вы хотите 
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монтировать периодически. Файловая система поаифо может быть смонтирована 
вручную. Преимущество этого способа заключается в том, что при вводе команды 
тоип= можно ввести меньше информации, а остальное заполнить содержимым 
файла /еёс/#ѕ+аь. Например, можете ввести: 


# тоипЕ /оак/аррѕ 


Команда тоип* знает, что нужно проверить файл /еёс/ѕ+аб, чтобы получить 
файловую систему для монтирования (оак: /аррѕ), тип файловой системы (п#ѕ) 
и параметры для использования с монтированием (в данном случае го — только 
для чтения). Вместо того чтобы вводить локальную точку монтирования (/оак/ 
аррѕ), можно ввести имя удаленной файловой системы (оак: /аррз) и указать дру- 
гую информацию. 


СОВЕТ 


Если, давая имя точке монтирования, вы включите в него имя удаленного сервера МЕ, что поможет запомнить, 
где на самом деле хранятся файлы. Это невозможно, если вы совместно используете домашние (/ћоте) или по- 
чтовые каталоги (/маг/роо/ тай). Например, вы можете смонтировать файловую систему с компьютера диск 
в каталоге /тиИдисК. 


Параметры монтирования 


Чтобы повлиять на способ монтирования файловой системы, вы можете добавить 
несколько параметров монтирования в файл /ес/#ѕ+ар (или в саму командную 
строку монтирования). Добавляя параметры в файл /ес/#ѕ+ар, разделяйте их 
запятыми. Например, при монтировании каталога оак: /аррѕ используются пара- 
метры поацфо, го и һага: 


оак: /аррѕ /оак/аррѕ п#ѕ  поаифо,го,Нага өө 


Далее приведены параметры, полезные для монтирования файловых систем 
МЕЅ. Вы можете прочитать об этих и других параметрах монтирования МЕ$, 
которые можно поместить в файл /еЕс/$%а6, на справочной странице п#ѕ 
(тап 5 п5). 


® һага. Если применяется этот параметр и сервер МЕЅ выключается или отклю- 
чается, пока процесс ожидает доступа к нему, процесс зависает до тех пор, пока 
сервер не заработает снова. Полезная функция, если очень важно, чтобы данные, 
с которыми вы работаете, оставались синхронизированными с программами, 
использующими их. (Это поведение по умолчанию.) 


® соғ. Если сервер МЕЅ отключается или выходит из строя, процесс, пытающийся 
получить доступ к данным с него, заканчивается через заданный период време- 
ни, когда этот параметр включен. Ошибка ввода-вывода передается процессу, 
который пытается получить доступ к серверу МЕЅ. 

Ф г512е. Это размер блоков данных (в байтах), которые клиент МЕ$ запра- 
шивает при чтении данных с сервера МЕЅ. Значение по умолчанию — 1024. 
Использование большего значения (например, 8192) обеспечивает лучшую 
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производительность в быстрой (например, локальной) и относительно безоши- 
бочной (с небольшим количеством шумов или ошибок) сети. 


мѕіхе. Это размер блоков данных (в байтах), которые клиент МЕЅ запрашивает 
при записи данных на сервер МЕЅ. Значение по умолчанию — 1024. Проблемы 
с производительностью те же, что при использовании параметра г512е. 


тіпео=#. Устанавливает время ожидания перед повторной попыткой передачи, 
представляет собой число в десятых долях секунды, Значение по умолчанию — 
0,7 секунды. Каждый последующий тайм-аут удваивает его (максимум до 60 се- 
кунд). Увеличьте это значение, если считаете, что тайм-ауты происходят из-за 
медленного ответа сервера или малой скорости сети. 


геёгапѕ=#. Устанавливает количество незначительных тайм-аутов и повторных 
передач, которые должны произойти до длительного тайм-аута. 


геёгу=#. Устанавливает, в течение скольких минут нужно продолжать повто- 
рять неудачные запросы монтирования, где символ # заменяется количеством 
минут для повторной попытки. Значение по умолчанию — 10 000 минут (что 
составляет около одной недели). 


ре. Если время первой попытки монтирования истекло, выполните все после- 
дующие в фоновом режиме. Этот параметр очень полезен, если вы монтируете 
медленную или не всегда доступную файловую систему МЕЅ. При размещении 
запросов на монтирование в фоновом режиме ваша система может продолжать 
монтировать другие файловые системы, вместо того чтобы ждать завершения 
текущей. 


ПРИМЕЧАНИЕ 


Если вложенная точка монтирования отсутствует, происходит тайм-аут для того, чтобы ее добавить. Например, 
если смонтировать /иѕг/&гір и /иѕг/їтір/ехќга в файловой системе МЕ5, когда точка /иѕг/ќгір еще не установила по- 
пытку монтирования /иѕг/ёгір/ехќга, то /иѕг/&ір/ехіга перейдет в тайм-аут. Если повезет, то /иѕг/&гір возобновит 
работу и Лизг/кир/ежта смонтируется при следующей попытке. 


+8. Если время первой попытки монтирования истекло, выполните последующие 
не в фоновом режиме. Это поведение по умолчанию. Используйте данный па- 
раметр, если необходимо, чтобы монтирование прошло успешно, прежде чем 
продолжить (например, если вы монтировали /иѕк). 


Не все параметры монтирования МЕЅ нужно добавлять в файл /ес/#ѕ+ар. 


На стороне клиента файл /ес/п+5тоип* .соп+ может быть настроен в разделах 
Моипё, Ѕегмег и С1оба1. В разделе Моип можно указать, какие параметры монтиро- 
вания используются при монтировании файловой системы МЕЗ в определенную 
точку. Раздел ѕегуег позволяет добавлять параметры в любую файловую систему 
МЕЗ, смонтированную с определенного сервера МЕ$. Параметры из раздела 61оБа1 
применяются к каждому монтированию МЕ$ с этого клиента. 
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Следующая строка в файле /еёс/пѕтоипё. соп+ устанавливает размер блока 
чтения и записи 32 Кбайт для всех каталогов МЕЅ, смонтированных из системы 
{Пипаег .ехатр1е . сот: 


[ Ѕегмег "+пипаег.ехатр1е.сот" ] 
г512е=32к 
м512е=32Кк 


Чтобы установить параметры по умолчанию для каждого монтирования МЕЅ 
в ваших системах, раскомментируйте блок МЕЗМоип*_61оБа1 _Оре1оп$. В нем можно 
установить протоколы и версии МЕ$, а также скорость передачи и настройки по- 
вторных попыток. Пример блока М5Моипё_б1оба1_Орїіопѕ: 


[ МР$Моцп*_б61оБа1_Ор1оп$ ] 

# 115 зеф5 һе аефаи1 \уег$1оп Фо М№5 4 

РеғҒаи1+мегѕ=4 

# Ѕеїѕ {Пе питбег оф +ітеѕ а гедие$* мі11 Бе геёгіеа Бефоге 
# репега+іпр а +ітеоиё 

Вефгап$=2 

# без {Пе питбег оф тіпиеѕ Бефоге гегуіпе а Ғаі1еа 

# тоцп $0 2 тіпиёеѕ 

Кеегу=2 


Здесь версия МЕЅ по умолчанию равна 4. Данные передаются дважды (2) перед 
генерацией тайм-аута. Время ожидания перед повторной попыткой передачи со- 
ставляет 2 минуты. Вы можете переопределить любое из этих значений по умолча- 
нию, добавив параметры монтирования в файл /еёс/#ѕ+ар или в командную строку 
монтирования при монтировании каталога МЕЅ. 


Функция аиїоёѕ для монтирования 
файловых систем МЕЅ по требованию 


Совершенствование области автоматического обнаружения и монтирования 
съемных устройств означает, что вы можете просто вставить или подключить 
эти устройства и система сама их обнаружит, смонтирует и отобразит. Однако, 
чтобы автоматизировать процесс обнаружения и монтирования удаленных фай- 
ловых систем МЕ, все равно нужно использовать функцию аџиёо#ѕ (сокращение 
от аиютайсаЙу тоипіеа ЈШеѕуѕѓіетѕ — «автоматически монтируемые файловые 
системы»). 

Функция аџёо#ѕ монтирует сетевые файловые системы по требованию, когда 
кто-то пытается их применить. Если функция аиѓо#ѕ настроена и включена, вы 
можете вызвать монтирование любых доступных общих каталогов МЕЅ по требова- 
нию. Для работы с функцией аифо+5 необходимо установить пакет аиёо#ѕ. (Чтобы 
установить пакет из сети, для систем Еедога и ВНЕГ, можете ввести команду уит 
іпѕёа11 аиёо#ѕ, а для ОБипеи или Оеап — ар-веї 1п$%а11 ао+о#ѕ.) 
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Автоматическое подключение к каталогу /пеї 


При включенной функции аџќо#ѕ, если вы знаете имя хоста и каталог, совместно 
используемый другим хост-компьютером, просто измените (са) его на каталог 
монтирования аиёо#5 (/ пе или /уаг/аифо+5 по умолчанию). Это приведет к тому, 
что общий ресурс автоматически смонтируется и станет доступным. 

Включение функции аџёо#ѕ в системах Еейога или ВНЕТ. производится так. 


1. В системе Еейога или ВНЕГ. из окна Тентипа! (Терминал) откройте как супер- 
пользователь файл /еёс/аџио.паѕїег и найдите следующую строку: 


/пе+ -һоѕЕ5 


Это приведет к тому, что каталог /пеќ будет действовать как точка монтиро- 
вания для общих каталогов МЕ$, к которым вы хотите получить доступ в сети. 
(Если в начале этой строки есть символ комментария, удалите его.) 


2. Чтобы запустить службу аиїоёѕ в системе Еейога 30, ВНЕГ.7 или более поздней 
версии, введите от имени суперпользователя следующее: 


# зузфетсЕ1 ѕ+агі аи+о#5.ѕегмісе 


3. В системе Еейога 30, ВНЕТ. 7 или более поздней версии настройте службу аџто#ѕ 
для перезапуска при каждой загрузке системы: 


# Ѕуѕіетс+1 епаб1е аи+оғ#ѕ 


Хотите верьте, хотите нет, но это все, что нужно сделать. Если у вас есть сетевое 
подключение к серверам МЕ$, с которых вы хотите поделиться каталогами, полу- 
чите доступ к общему каталогу МЕЅ. Например, если знаете, что каталог /изг/ 
1оса1/5Наге используется совместно с компьютера с именем пи 1е из вашей сети, 
введите следующую команду: 


$ са /пе+/ѕһи++1е/ 


Если на нем есть какие-то доступные вам общие каталоги, можете успешно 
перейти в этот каталог. Можно также ввести следующее: 


$ 15 
иѕг 


Теперь видно, что каталог является частью пути к общему каталогу. Если бы 
существовали общие каталоги из других каталогов верхнего уровня (например, 
/маг или /&тр), вы бы их увидели. Конечно, доступность любого из этих каталогов 
зависит от того, как настроена система безопасности на сервере. 

Перейдите прямо в общий каталог, как показано в этом примере: 


$ са /пе+/ѕһиЕ1е/иѕг/1оса1/ѕһаге 
Ф 15 
іпҒо мап тиѕіс бе1еуіѕіоп 


На этом этапе команда 1$ должна отобразить содержимое каталога /изг/1оса1/ 
ѕһапе на компьютере с именем пи 1е. Варианты применения этого содержимого 
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зависят от того, как был настроен доступ к нему для совместного использования 
сервером. 

То, что вы не увидите никаких файлов и каталогов, пока не начнете работать 
с ними, допустим не перейдете в сетевой каталог, может немного сбить с толку. 
Например, команда 1$ ничего не отображает в сетевом каталоге до тех пор, пока 
каталог не будет смонтирован, то есть иногда он виден, а иногда его нет. Просто 
перейдите в сетевой каталог или получите доступ к файлу в таком каталоге, а функ- 
ция аи+о#5 позаботится обо всем остальном. 

В приведенном примере пи 1е — это имя хоста. Однако вы можете использо- 
вать любые имя или ІР-адрес, который определяет местоположение компьютера 


сервера МЕЅ. Так, вместо пи {1е можете взять ѕһи++1е .ехатр1е. сом или ІР-адрес, 
например 192.168.0.122. 


Автоматическое монтирование домашних каталогов 


Вместо того чтобы просто монтировать файловую систему МЕЅ в каталоге /пе\, 
можете настроить службу аиёо#ѕ для монтирования определенного каталога МЕЅ 
в определенном месте. Например, настроить домашний каталог пользователя с цен- 
трализованного сервера, который может автоматически монтироваться с другого 
компьютера при входе пользователя в систему. Аналогично можете применить 
централизованный механизм аутентификации, такой как ЮАР (как описано в гла- 
ве 11 «Управление учетными записями»), чтобы предложить централизованные 
учетные записи пользователей. 

Следующий вывод иллюстрирует, как настроить учетную запись пользователя 
на сервере МЕЅ и предоставить общий доступ к домашнему каталогу пользователя 
с именем јое с этого сервера, чтобы его можно было автоматически подключить 
при входе јое на другой компьютер. В этом примере вместо применения цен- 
трального сервера аутентификации в каждой системе создаются соответствующие 
учетные записи. 


1. На сервере МЕЅ (туп .ехатр!е.сот), который предоставляет централизо- 
ванный домашний каталог пользователя для јое, создайте учетную запись 
пользователя Јјое с домашним каталогом /һоте/ѕһагей/јое в качестве имени. 
Найдите также ГО пользователя д ое из файла /еёс/раѕѕма (третье поле), 
чтобы сопоставить его при настройке учетной записи пользователя для јое 
в другой системе. 


# ткаіг /һоте/ѕһагеа 

# иѕегааа -с "Зое Ѕті+һ" -4 /һоте/ѕһагеӣ/јое јое 

# егер јое /еїс/раѕѕма 

јое:х:1000:1000:Јое ЅтіЁһ: /Һоте/ѕһагеа/јое: /біп/баѕһ 


2. На сервере МЕЅ экспортируйте каталог /һоте/ѕһагей/ в любую систему сво- 
ей локальной сети (в примере 192.168.0.*), чтобы можно было поделиться 


578 Часть ІМ • Администрирование серверов в Шпих 


домашним каталогом для Јое и любых других пользователей, которых вы соз- 
дадите, добавив эту строку в файл /ес/ехрог+ѕ: 
# /ес/ехрогіѕ +11е їо ѕһаге дӢігесіогіеѕ ипаег /һоте/ѕһагеа 


# оп1у їо оЁһег ѕуѕёетѕ оп һе 192.168.0.0/24 пеїмогк: 
/һоте/ѕһагей 192.168.0.* (гм, іпѕесиге) 


ПРИМЕЧАНИЕ 


В приведенном ранее примере файла экспорта параметр іпѕесиге позволяет клиентам использовать порты выше 
порта 1024 для выполнения запросов на монтирование. Некоторые клиенты М№ЕЅ требуют этого, потому что у них 
нет доступа к занятым портам М№ЕЅ. 


3. 


На сервере МЕЅ перезапустите службу п $-зегуег, а если она уже запущена, 
просто экспортируйте общий каталог следующим образом: 


# ехрогЕ+$ -а -г -\ 


На МЕЅ-сервере убедитесь, что соответствующие порты должны быть открыты 
в брандмауэре. Дополнительные сведения см. в разделе «Защита сервера МЕ$» 
ранее в этой главе. 


В клиентской системе МЕЅ добавьте в файл /еєс/аиќо.таѕ+ег запись, опреде- 
ляющую точку монтирования, куда вы хотите монтировать удаленный каталог 
МЕЗ, и файл (по своему выбору), в котором будете определять местоположение 
удаленного каталога МЕ$. Я добавил эту запись в файл аито .тазег: 


/һоте/гетоёе /ефс/аифо. ое 


В клиентской системе МЕЅ добавьте в только что отмеченный файл (я исполь- 
зовал /еїс/аиїо. јое) запись, которая содержит следующую строку: 


јое - гм туп-+$ .ехатр1е. сот: /һоте/ѕһагеа/јое 


В клиентской системе МЕЅ перезапустите службу аи+оё#: 


# зузфетсЕ1 гезфаг аифо+$ .зег\у1се 


В клиентской системе МЕЅ создайте пользователя с именем јое с помощью ко- 
манды изегада. Для нее вам нужно получить ОТО для јое на сервере (507 в дан- 
ном примере), чтобы клиентская система јое владела файлами из домашнего 
каталога јое МЕЅ. При выполнении следующей команды создается учетная 
запись пользователя јое, но вы увидите сообщение об ошибке, указывающее, 
что домашний каталог уже существует (так и должно быть): 


# изегада -и 507 -с "Зое Ѕті+һ" -4 /һоте/гетое/јое јое 
# раѕѕма јое 

Сһапріпе раѕѕмога Ғог иѕег јое. 

Мем раѕѕмога: ****ж*жж* 

Кефуре пем раѕѕмога: ****ж**ж* 


Войдите в клиентскую систему МЕЅ под именем јое. Если все работает пра- 
вильно, то, когда јое входит в систему и пытается получить доступ к своему 
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домашнему каталогу (/һоте/гетоёе/ јое), каталог /һоте/ѕһаһе/јоеѕ должен быть 
смонтирован из сервера туп{5 .ехатр1е. сот. Каталог МЕЅ был как общим, так 
и смонтированным на чтение/запись с владением ОТО 5607 (јое в обеих систе- 
мах), поэтому пользователь јое в локальной системе должен иметь возможность 
добавлять, удалять, изменять и просматривать файлы в нем. 


После того как пользователь јое выходит из системы (фактически когда он пре- 
кращает доступ к каталогу) на время тайм-аута (по умолчанию 10 минут), каталог 
размонтируется. 


Размонтирование файловых систем МЕ$ 


Смонтированную файловую систему МЕ$ размонтировать очень просто. Команда 
монтирования используется либо с локальной точкой монтирования, либо с именем 
удаленной файловой системы. Вот два способа размонтировать тар1е: /5&0## из 
локального каталога /тпё/тар1е: 


# чтоипЕ тар1е: /$ Фи 
# итоипЕ /тпе/тар1е 


Любой из них сработает. Если тар1е: /ѕ+и## монтируется автоматически 
(из списка в файле /еёс/ѕ+аб), то каталог монтируется заново при следующей 
загрузке Глпих. Если это было временное монтирование (или указано как поаиїо 
в файле /еёс/#ѕ+ар), то оно не монтируется повторно во время загрузки. 


СОВЕТ 


Используйте команду итоипї, а не иптоџпї. 


Если при попытке размонтировать файловую систему вы получаете сообщение, 
что устройство занято (аеуісе 1$ Бизу), это означает, что размонтировать файловую 
систему не удалось, поскольку в данный момент она используется. Скорее всего, 
один из каталогов в файловой системе МЕЅ является текущим каталогом вашей 
оболочки (или оболочки кого-то еще в вашей системе). Другим вариантом может 
быть то, что команда удерживает файл открытым в файловой системе МЕ$ (на- 
пример, в текстовом редакторе). Проверьте свои окна Тегтіпа! (Терминал) и другие 
оболочки, а затем введите команду са из каталога или просто закройте окна Тегпа! 
(Терминал). 

Если файловая система МЕЅ не размонтируется, можно заставить ее сделать 
это сейчас (итоип* -+ /тпё/тар1е) или размонтировать и очистить позже (итоипё -1 
/тпе/тар1е). Лучше всего применять параметр -1, поскольку принудительное раз- 
монтирование способно нарушить процесс изменения файла. Другой вариант — за- 
пустить команду Физег-у тоипёроіпё, чтобы увидеть, какие пользователи работают 
со смонтированным общим ресурсом МЕ$, а затем командой Ғиѕег-Кк тоипёроіп 
моментально завершить все эти процессы. 
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Резюме 


Сетевая файловая система (МЕ$) — один из старейших компьютерных файлооб- 
менных серверов. Она по-прежнему наиболее популярна для обмена каталогами 
файлов между системами ОМІХ и пах. МЕЅ позволяет серверам назначать опре- 
деленные каталоги, предоставляя доступ к ним назначенным хостам, а клиентским 
системам — подключаться к этим каталогам, локально их монтируя. 

Сервер МЕЅ можно защитить с помощью правил брандмауэра (1р+аБ1е$), обо- 
лочек ТСР (разрешить и запретить доступ к хосту) и ЗЕ тих (ограничить то, 
как протоколы общего доступа к файлам могут совместно задействовать ресурсы 
МЕЅ). Хотя служба МЕ$ изначально была небезопасна (данные передаются в не- 
зашифрованном виде, а доступ пользователям открыт), функции МЕ$ 4-й версии 
повысили ее общую безопасность. 

Эта глава — последняя из посвященных серверам глав этой книги. Глава 21 
«Диагностика Глпих» охватывает широкий спектр тем, относящихся к настольным 
компьютерам и серверам, и помогает понять процессы диагностики системы их 
и устранения неполадок в ней. 


Упражнения 


Упражнения этой главы относятся к задачам, связанным с настройкой и использо- 
ванием сервера МЕЅ в іпих. Для их решения желательно иметь две системы Гіпих, 
подключенные к локальной сети. Одна из них будет действовать как сервер МЕЅ, 
а другая — как клиент МЕ$. 

Чтобы получить максимальную пользу от выполнения этих упражнений, реко- 
мендую не применять сервер Глпих, на котором уже работает служба МЕЅ. В таком 
случае вы не сможете выполнить все упражнения, не нарушив работу службы МЕЗ, 
которая уже активна и совместно использует ресурсы. 

В приложении Б представлены варианты решения упражнений. 


1. В системе Ііпих, которая действует в качестве сервера МЕЅ, установите пакеты, 
необходимые для настройки службы МЕ. 

2. На сервере МЕ$ перечислите входящие в пакет файлы документации, которые 
предоставляет программное обеспечение для сервера МЕЅ. 

3. На сервере МЕЅ определите имя службы МЕЗ и запустите ее. 

4. На сервере МЕЅ проверьте состояние только что запущенной службы МЕ$. 


5. На сервере МЕЅ создайте каталог /маг/ту$и++ и поделитесь им со своего сер- 
вера МЕЅ, применяя следующие атрибуты: «доступно всем», «доступно только 
для чтения» и «суперпользователь на клиенте имеет корневой доступ к общему 
ресурсу». 

6. На сервере МЕЅ убедитесь, что созданный вами общий ресурс доступен всем 
хостам, открыв ТСР-оболочки, 1р+аб1ез и ЗЕпих. 


10. 
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Во второй системе Глпах (клиент МЕЅ) просмотрите общие ресурсы, доступные 
с сервера МЕ$. (Если у вас нет второй системы, сделайте это из той же системы.) 
Если не видите общий каталог МЕЅ, вернитесь к предыдущему упражнению 
и повторите попытку. 


На клиенте МЕЅ создайте каталог /маг/гето{фе и временно смонтируйте каталог 
/маг/туѕ+иҒ с сервера МЕЅ в этой точке монтирования. 


На клиенте МЕ$ размонтируйте каталог /маг/гепо+е, добавьте строку, чтобы 
то же самое монтирование выполнялось автоматически при перезагрузке (с па- 
раметром Ббетоџпё), и проверьте, что созданная вами строка работает правильно. 


С сервера МЕЅ скопируйте некоторые файлы в каталог /маг/туз и. Из клиента 
МЕБ убедитесь, что видите файлы, только что добавленные в этот каталог, и что 
не можете записывать файлы в этот каталог из клиента. 


Диагностика 
Чпих 


В этой главе 


= Диагностика загрузчика системы. 
т Диагностика инициализации системы. 


и Решение проблем с пакетами программного 
обеспечения. 


= Проверка сетевого интерфейса. 
ш Диагностика проблем с памятью. 
ш Режим восстановления. 


В любой сложной операционной системе многое может пойти не так. Вы не сможе- 
те сохранить файл, потому что не хватает места на диске. Приложение выйдет из 
строя из-за нехватки памяти в системе. Система не загрузится должным образом 
по множеству причин. 

В Піпих, открытой и сосредоточенной на максимальной эффективности рабо- 
ты программного обеспечения, есть поразительное количество инструментов для 
устранения всех мыслимых проблем. В конце концов, если операционная система 
работает не так, как вам хотелось бы, можете переписать код самостоятельно (хотя 
в книге я не рассказываю, как это сделать). 

В этой главе рассматриваются некоторые наиболее распространенные пробле- 
мы, с которыми вы можете столкнуться в системе Глпих, и описываются инстру- 
менты и действия, с помощью которых эти проблемы решаются. Темы разбиты по 
областям диагностики, таким как процесс загрузки, пакеты программного обеспе- 
чения, сеть, проблемы с памятью и режим восстановления. 


Диагностика загрузки системы 


Прежде чем приступать к устранению неполадок системы Глпих, ее нужно за- 
грузить. Загрузка системы Піпих, установленной непосредственно на компьютере 
с архитектурой ПК, состоит из таких этапов, как: 
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включение питания; 
загрузка жесткого диска (из ВТО$ или ОЕЕТ); 
поиск загрузчика системы и его запуск; 
выбор загрузчика операционной системы; 


запуск ядра и начального диска оперативной памяти для выбранной операци- 
онной системы; 


запуск процесса инициализации (іпі+ или ѕуѕёета); 


запуск всех служб, связанных с выбранным уровнем активности (уровень вы- 
полнения или цель по умолчанию). 


Конкретные действия в каждой из этих точек в последние годы претерпели 
трансформацию. Загрузчики меняются, чтобы можно было приспособить новые 
виды оборудования. Процесс инициализации тоже меняется так, что службы мо- 
гут запускаться более эффективно, основываясь на зависимостях и реагируя на 
состояние системы (например, какое оборудование подключено или какие файлы 
существуют), а не на статический порядок загрузки. 

Диагностика загрузки пих начинается после включения компьютера и закан- 
чивается, когда все службы запущены. В этот момент в консоли обычно появляется 
графическое или текстовое приглашение войти в систему. 

После прочтения кратких описаний методов запуска перейдите к разделу «За- 
пуск загрузчика (ВТО$ или ОЕЕТ)», чтобы понять, что происходит на каждом этапе 
загрузки и где может потребоваться диагностика. Поскольку общая структура 
процесса загрузки ГЛпих одинакова для всех трех представленных здесь систем 
(Ее4ога, КНЕГ. и ОБипба), я пройду через него только один раз, а различия между 
ними опищу по ходу действий. 


Методы запуска системы 


Запуск служб, связанных с работающей системой Глпих, зависит от конкретного 
дистрибутива Глпих. После того как загрузчик запускает ядро, все остальные дей- 
ствия (монтирование файловых систем, настройка параметров ядра, запуск служб 
ит. д.) выполняются в процессе инициализации. 

Описывая загрузку, я сосредоточусь на двух различных типах инициализации: 
Ѕуѕсет У іпі и ѕуѕёета. 


Скрипты инициализации 5у$ет \/ іпі 


Средство инициализации Ѕуѕќет У состоит из процесса инициализации (первого 
процесса, запускаемого после самого ядра), файла /еёс/іпіїбар, который направ- 
ляет все действия запуска, и набора скриптов оболочки, запускающих отдельные 
службы. Первые версии Еедога вплоть до ВНЕГ. 5 использовали процесс инициа- 
лизации Ѕуѕќет У іпі+. 

Система Ѕуѕіет У іпі+ была разработана для ОМХ Ѕуѕіет У компанией АТ&Т 
в середине 1980-х годов, когда системы ОМІХ впервые включили запуск сетевых 
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интерфейсов и подключенных к ним сервисов. Только в последнее десятилетие 
она была вытеснена системами {7рѕќаге и ѕуѕ&ета, которые лучше соответствуют 
требованиям современных операционных систем. 

В Ѕуѕќет У іпіє наборы служб назначаются так называемым уровням выпол- 
нения. Например, многопользовательский уровень выполнения может запускать 
базовые системные службы, сетевые интерфейсы и сетевые службы. Однопользо- 
вательский режим просто запускает базовую систему Глпих, чтобы кто-то мог войти 
в систему из системной консоли, не запуская сетевые интерфейсы или службы. 

После запуска Ѕуѕѓет У 111 вы можете использовать команды героо*, ѕһи+- 
дӢомп и іпі для изменения уровней запуска. Можно также применять ѕегуісе 
и сһксоп+ів, чтобы запускать/останавливать отдельные службы или включать/ 
отключать службы соответственно. 

Скрипты инициализации Ѕуѕќет У настроены на выполнение в определенном 
порядке, причем каждый из них должен быть завершен до запуска следующего. 
Если служба выходит из строя, то нет никаких условий для ее автоматического 
перезапуска. Система зуз+ета была разработана для устранения этих и других не- 
достатков Ѕуѕќет У 1п4*. 


Запуск с помощью системы ѕуѕёета 


Система ѕуѕета быстро становится самым популярным и подходящим способом 
инициализации для многих систем Глпих. Она была принята в системах Еейога 15 
и ВНЕГ. 7 и заменила Орзбагё в ОеЫап и ОБипёи 15.04. Хотя ѕуѕтета сложнее, чем 
Зузет У іпі?, но она предоставляет гораздо больше функций. 


® Цели. Вместо уровней выполнения ѕуѕёета фокусируется на целях. Цель может 
запускать набор служб, создавать или запускать другие типы устройств (напри- 
мер, монтирование каталогов, сокеты, области подкачки и таймеры). 


® Совместимость Зузет У. Существуют цели, совпадающие с уровнями за- 
пуска Ѕуѕќет У, для тех, кто привык с ними работать. Например, цель вгарћі - 
са1.агреї совпадает с уровнем запуска 5, а цель ми1{1-изег. агвеф, по суще- 
ству, является уровнем запуска 3. Однако целей гораздо больше, чем уровней 
выполнения, что дает вам возможность более точно управлять наборами еди- 
ниц. Кроме того, зуз%ета поддерживает скрипты и команды инициализации 
Зузет У, такие как сИКсоп1в и ѕегуісе, для управления этими службами, если 
они установлены. 


© Запуск на основе зависимостей. При запуске системы может запуститься лю- 
бая служба в целевом объекте по умолчанию (вгарһіса1.ќагве+ для настольных 
компьютеров и ти1+1-изег. агре* для большинства серверов), которая имеет 
соответствующие зависимости. Эта функция может ускорить процесс загрузки, 
гарантируя, что одна несработавшая служба не остановит запуск других служб, 
если она не нужна им для запуска. 
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ө Использование ресурсов. С помощью ѕуѕ+ета вы можете применять команду 
свгоирѕ для ограничения объема ресурсов системы, потребляемых службой. 
Например, если вы ограничите объем памяти, процессора или других ресурсов, 
которые может потреблять вся служба, то запущенный процесс или служба, 
запускающая необоснованное количество дочерних процессов, не сможет по- 
треблять больше ресурсов, чем ей разрешено. 


При запуске Глпих-системы с поддержкой зуз ета первым запущенным про- 
цессом (РТО 1) является демон ѕуѕ+ета (а не демон 1п1*). Основная команда для 
управления службами зуз+ета — это команда ѕуѕёетс+1. Управление сообщениями 
журнала зузета осуществляется с помощью команды јоигпа1с+1. Вы также може- 
те использовать старые команды Ѕуѕќет У іпі+, такие как 1п1%, ромего+ +, гебоо*, 
гип1еме1 и пи аомт для управления службами. 


Запуск загрузчика (ВІОЅ или ЧЕРГ) 


Когда вы физически включаете компьютер, загружается прошивка для инициа- 
лизации оборудования и поиска операционной системы для загрузки. На ПК эта 
прошивка традиционно называется В/О (Ваяс Іприѓ ОшриЕ 5уѕіет). В последние 
годы в качестве замены ВТО на некоторых компьютерах стал доступен новый тип 
прошивки под названием (ЕЁ (Отйеа ЕхѓіепѕіЫе Еттоате Гпіетјасе). Они взаимно 
исключают друг друга. 

ОЕҒІ была разработана для обеспечения безопасной загрузки, чтобы в ходе 
нее могли использоваться только операционные системы с официальными компо- 
нентами. И все же ЧЕЕ! можно задействовать с неподписанными операционными 
системами, отключив функцию безопасной загрузки. 

Для дистрибутива ОБипи поддержка безопасной загрузки впервые была реа- 
лизована в версии 12.04.2. Дистрибутив КЕНЕТ. 7 и его более поздние версии 
также официально поддерживают функцию безопасной загрузки. Основная за- 
дача прошивок ВІОЅ и ОЕЕГ состоит в том, чтобы инициализировать аппаратное 
обеспечение, а затем передать управление процессом загрузки загрузчику. Затем 
загрузчик находит и запускает операционную систему. После установки операцион- 
ной системы, как правило, нужно просто позволить прошивке делать свою работу 
и не прерывать ее. 

Однако бывают случаи, когда нужно прервать работу прошивки. Для обсужде- 
ния этого мы разберем обычный ход работы ВТО$. Сразу после включения питания 
вы увидите экран ВТО$, который обычно включает в себя информацию о том, как 
перейти в режим настройки и изменить порядок загрузки. Вот что вы сможете 
сделать, если нажмете нужную функциональную клавишу (часто Е1, Р2 или Е12), 
чтобы выбрать один из следующих пунктов. 


е Программа установки (5ебар ий Шу). Программа установки позволяет изме- 
нять настройки в ВІО. Эти настройки можно использовать для включения 
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или отключения определенных компонентов либо включения или выключения 
выбранных функций. 


е Порядок загрузки (Бооѓ ог4ег). Компьютеры способны запускать операцион- 
ную систему или, точнее, загрузчик, который запускает операционную систему, 
с различных устройств, подключенных к компьютеру. Это могут быть СО, РУО, 
жесткий диск, ОЗВ-драйвер или карта сетевого интерфейса. Порядок загрузки 
определяет порядок проверки этих устройств. Изменив порядок загрузки, вы 
можете указать компьютеру временно игнорировать порядок загрузки по умол- 
чанию и попытаться загрузиться с выбранного устройства. 


На своей рабочей станции Пе! после загрузки экрана ВТО$З я сразу же нажимаю 
функциональную клавишу Р2, чтобы перейти в настройки, или Е12, чтобы временно 
изменить порядок загрузки. В следующих разделах описано, какие проблемы можно 
устранить с помощью экранов 5ешр (Настройки) и Воої Огаег (Порядок загрузки). 


Диагностика настроек ВІОЅ 


Как я отмечал ранее, обычно вы даете ВТО$ запускаться без перерыва до загрузчика 
по умолчанию (например, жесткого диска). Однако перечислю случаи, когда может 
понадобиться перейти в режим настройки и изменить ВТО$. 


® Чтобы увидеть все ваше оборудование. Если проблема диагностики связана 
с аппаратным обеспечением, лучше всего начать изучение системы с настройки 
ВТО$. Экран Ѕеќир (Настройки) сообщает о типе системы, версии ВІОЅ, про- 
цессорах, слотах памяти и типах памяти (32- или 64-разрядные), о том, какие 
устройства находятся в каждом слоте, а также множество подробностей о типах 
устройств, подключенных к системе. 


Если вообще не получается загрузить операционную систему, настройки ВІОЅ 
могут стать единственным способом определить модель системы, тип процессо- 
ра и получить другие сведения, необходимые для поиска нужной информации 
или вызова службы поддержки. 


® Чтобы отключить/подключить устройство. Большинство устройств, присо- 
единенных к компьютеру, включены и доступны для операционной системы. 
Чтобы устранить неполадки, может потребоваться отключить устройство. 


Предположим, компьютер имеет две карты сетевого интерфейса (МС). Вы хо- 
тите использовать вторую карту МІС для установки іпих по сети, но инстал- 
лятор продолжает пытаться задействовать первую карту МІС для подключения 
к сети. Вы можете отключить первую карту, чтобы инсталлятор даже не видел 
ее при попытке подключиться к сети. Или оставить первую карту видимой для 
компьютера, но отключить ее способность к РХЕ-загрузке. 


Возможно, у вас есть аудиокарта и вы хотите отключить встроенное аудио на 
материнской плате. Это можно сделать и в ВТО$. И наоборот, иногда нужно 
включить устройство, которое было отключено. Возможно, вам предоставили 
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компьютер с отключенным устройством в ВТО$. Из операционной системы, 
например, может показаться, что у вас нет передних ОЅВ-портов или СО- 
накопителя. Глядя на настройки ВТО$5, вы узнаете, почему эти устройства не- 
доступны. 


® Чтобы изменить настройки устройства. Иногда настройки по умолчанию, 
которые входят в ВТО$, в вашей ситуации не сработают. В таком случае может 
понадобиться изменить следующие настройки в ВІО: 


= сетевые параметры загрузки РХЕ. Большинство современных сетевых карт 
способны загружаться с серверов, находящихся в сети. Если при загрузке 
из сети вы обнаружите, что карта сетевого интерфейса не отображается как 
загрузочное устройство на экране Воої Огаег (Порядок загрузки), вам, воз- 
можно, придется включить эту функцию в ВТО5; 


= настройки виртуализации. Если вы хотите запустить систему Глпих в ка- 
честве виртуального хоста, процессор компьютера должен поддерживать 
технологии Ге! Упсиа| ТесБпоюду или АМР” Ѕесиге Уіќџа! Масһіпе ($УМ). 
Но возможно, даже если процессор поддерживает данные технологии, они 
отключены в ВТО$. Чтобы включить поддержку, перейдите на экран на- 
стройки ВІОЗЅ и найдите пункт Мігїиаіігайоп (Виртуализация) (возможно, он 
относится к категории Ре Могтапсе (Производительность)). Убедитесь, что 
виртуализация включена. 


Диагностика порядка загрузки 


В зависимости от оборудования, подключенного к вашему компьютеру, типичный 
порядок загрузки может включать сначала дисковод СО/ОУО, затем жесткий 
диск, затем ОЗВ-устройство и, наконец, карту сетевого интерфейса. ВТО$ будет 
обращаться к каждому устройству и искать загрузчик в его главной загрузочной 
записи. Найдя загрузчик, он запускает его. Если загрузчик не найден, ВТО$ пере- 
ходит к следующему устройству до тех пор, пока устройства не закончатся. Если 
загрузчик не найден, компьютер не загрузится. 

Одна из возможных проблем с порядком загрузки заключается в том, что 
устройство, которое нужно загрузить, может вообще не отображаться в порядке 
загрузки. В этом случае перейдите на экран Ѕеќир (Настройки), как описано в пре- 
дыдущем разделе, и либо включите устройство, либо измените настройки, чтобы 
сделать его загрузочным. 

Если устройство, с которого вы хотите загрузиться, отображается в порядке 
загрузки, нужно просто переместить выделение клавишей со стрелкой, чтобы 
отметить нужное устройство, и нажать клавишу Епїег. Далее приведены причины 
выбора собственного устройства для загрузки. 


® Режим восстановления. Если пих не загружается с жесткого диска, загрузка 
с СО или ОЅВ-накопителя позволяет сделать это в режиме восстановления 
(будет описан далее в этой главе), который может помочь восстановить жесткий 
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диск в незагружаемой системе. Дополнительную информацию см. в разделе 
«Диагностика в режиме восстановления» далее в этой главе. 


® Новая установка. Иногда в порядке загрузки сначала указывается жесткий 
диск. Если вы решите заново установить операционную систему, то потребуется 
выбрать загрузочное устройство, на котором находится инсталлятор (СО, УР, 
О5$В-накопитель или сетевая карта). 


Предположим, что вы преодолели все проблемы в настройках ВТО$. Теперь 
перейдем к следующему шагу — запуску загрузчика ВТО$. 


Диагностика загрузчика операционной системы СКУВ 


Как правило, ВТОЗ находит главную загрузочную запись на первом жестком диске 
и начинает поэтапную загрузку этого загрузчика. Глава 9 «Установка Глпих» описы- 
вает загрузчик СКОВ, который используется с большинством современных систем 
Глпих, включая КНЕТІ., Еедога и ОЪипќи. Загрузчик СЕОВ в ВНЕЕ. 6, описанный 
далее, — это более ранняя версия загрузчика СВКОВ 2, входящего в состав ВНЕГ. 7 
и более поздних версий Ее4ога и ОБипи. (Далее в этой главе я познакомлю вас 
ис СВОВ 2.) 

Сейчас нас интересует функция загрузчика с точки зрения того, что делать, если 
он выходит из строя, или какими способами можно его прервать, чтобы изменить 
протекание загрузки. 


Загрузчик операционной системы СКОВ Гедасу 


Перечислим несколько причин выхода загрузчика из строя в ВНЕТ. 6 и способы 
преодоления этих сбоев. 


е Не удалось найти активный раздел. Когда загрузчик устанавливается на но- 
ситель, раздел для него обычно помечается как загрузочный. Если появляется 
сообщение о том, что раздел не найден, значит, возникла ошибка. Если вы уве- 
рены, что загрузчик находится на диске, используйте команду +4915К (возможно, 
с восстановительного носителя), чтобы сделать раздел загрузочным, и повторите 
попытку. Дополнительная информация о команде +#а15К есть в разделе о разби- 
ении жестких дисков в главе 12 «Управление дисками и файлами». 


ө Выбранное загрузочное устройство недоступно. Вы можете увидеть подобное 
сообщение, когда главная загрузочная запись была удалена с жесткого диска 
или содержимое жесткого диска ожидает загрузки с другого загрузчика, на- 
пример с загрузочного СО. Вначале посмотрите, будет ли система загружаться 
с других носителей. Если окажется, что главная загрузочная запись удалена, 
загрузите аварийный носитель, чтобы попытаться восстановить содержимое 
диска. Но если главная загрузочная запись утрачена, возможно, другие данные 
на диске тоже стерты или для их восстановления потребуется специальная 
экспертиза. Если главная загрузочная запись была просто перезаписана (что 
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может произойти, если вы установили другую операционную систему в другой 
раздел диска), возможно, удастся ее переустановить из режима восстановления 
(как это делается, говорится в разделе «Диагностика в режиме восстановления» 
далее в этой главе). 


е Появляется текстовое приглашение загрузчика СВКОВ. ВІОЅ может запустить 
загрузчик СКОВ и сразу перейти к его приглашению, не выбирая операционную 
систему. Вероятно, это означает, что основная часть загрузочной записи СКОВ 
найдена, но, когда загрузчик изучил жесткий диск, чтобы найти следующий 
этап процесса загрузки и меню операционных систем для загрузки, он не смог 
их найти. Иногда это происходит, когда ВІОЅ обнаруживает диски в неверном 
порядке и ищет файл еги. соп+ в неправильном разделе. 


Один из вариантов решения проблемы (при этом файл рги. соп+ находится 
в первом разделе первого диска), состоит в том, чтобы перечислить содержимое 
этого файла и ввести строки гоо*, Кегпег и іпіёга вручную. Чтобы перечислить 
содержимое файла, введите команду са (һае, 9) /вгиб/вгиЬ .соп+. Если это 
не сработает, введите һӣ0, 1, чтобы получить доступ к следующему разделу на 
этом диске ит. д., или һӣ1,0, чтобы использовать первый раздел следующего 
диска и т. д. Когда найдете строки, представляющие файл вгиЬ. соп+, вручную 
введите строки гоо*, Кегпег и іпіёга для нужной строки (заменив расположение 
жесткого диска, найденного в корневой строке), а затем — команду Боо*. Систе- 
ма должна запуститься, и вы сможете вручную исправить файлы загрузчика. 
Дополнительные сведения о загрузчике СВОВ см. в главе 9. 


Если ВТО5 находит загрузчик в главной загрузочной записи диска, а тот нахо- 
дит файлы конфигурации СКОВ на диске, он начинает обратный отсчет времени 
в секундах, как определено значением строки +ітеои+ в файле /Бооё/егир/егир. соп+ 
(в КНЕГ 6 это 5 секунд). Во время обратного отсчета можно прервать работу за- 
грузчика (до того, как он загрузит операционную систему по умолчанию), нажав 
любую клавищу. 

Прервав работу загрузчика, вы увидите меню доступных строк загрузки. Они 
представляют различные доступные ядра загрузки. Но могут быть и совершенно 
разными операционными системами (например, УЛп4о\з, ВЅр или ОЪипќи). 

Причины прерывания процесса загрузки из меню загрузки для диагностики 
Тлпих таковы. 


е Необходимость загрузиться на другом уровне выполнения. Системы КНЕ 6 
обычно запускаются на уровне выполнения 3 (загрузка до текстового приглаше- 
ния) или 5 (загрузка до графического интерфейса). Вы можете переопределить 
уровень выполнения по умолчанию, выделив строку ядра в меню загрузки 
и поставив в конце другое значение уровня. Для этого выделите нужную строку 
операционной системы, введите е, выделите ядро, введите е и укажите в конце 
строки новый уровень выполнения (например, поставьте пробел и цифру 1, 
чтобы перейти в однопользовательский режим). Затем нажмите клавишу Ещег 
и введите Б, чтобы загрузить новую строку. 
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В чем смысл загрузки на разных уровнях выполнения для диагностики непо- 
ладок? Уровень выполнения 1 обходит аутентификацию, поэтому загрузка 
происходит непосредственно в корневую строку. Это полезно, если вы забыли 
пароль гоо* и его нужно изменить (для этого введите команду раѕѕма). Уровень 
выполнения 3 обходит запуск интерфейса рабочего стола. Перейдите на уровень 
выполнения 3, если возникли проблемы с видеодрайвером и вы хотите отладить 
его без автоматического запуска графического интерфейса. 


ө Необходимость выбрать другое ядро. Когда система ВНЕТГ. устанавливает 
новое ядро, она всегда сохраняет по крайней мере одно старое. Если новое ядро 
выходит из строя, вы всегда можете вернуть предыдущее. Чтобы загрузить 
другое ядро из меню загрузчика СКОВ, используйте клавиши <, 1, ф и >>, что- 
бы выделить нужное ядро, и нажмите клавишу Епќег, чтобы запустить процесс. 


® Желание выбрать другую операционную систему. Если на вашем жестком 
диске установлена другая операционная система, можете загрузить ее вместо 
ВНЕГ. Например, если на одном компьютере есть системы Еейога и ВНЕГ. 
и последняя не работает, вы можете загрузиться в Еейога, смонтировать нужные 
файловые системы КНЕГ. и попытаться устранить проблему. 


е Необходимость изменить параметры загрузки. Обратите внимание на то, что 
в ядро передается множество параметров. Они должны содержать как минимум 
имя ядра (например, ут1іпи2-2.6.32.е16.х86 64) и раздел с корневой файловой 
системой (например, /деу/таррег/абс-гоо*). По желанию в строку ядра можно 
добавить и другие параметры. 


Вы можете изменить параметры ядра и добавить функции в ядро или временно 
отключить поддержку конкретного компонента. Например, добавление строки 
11 =/ біп/Ббаѕћһ приводит к тому, что система обходит процесс іпі+ и переходит 
прямо к оболочке (аналогично запуску іпі+ 1). В дистрибутиве КНЕТ. 7 добав- 
ление 1 в качестве параметра ядра не поддерживается, поэтому к однопользова- 
тельскому режиму можно перейти с помощью команды іпіё=/біп/баѕћ. Строка 
поиѕЬ временно отключит ОЗВ-порты (чтобы убедиться, что все подключенное 
к ним также будет отключено). 


Предположим, нужное ядро выбрано. Дальше загрузчик попытается запустить 
его, включая содержимое начального диска оперативной памяти, который содержит 
драйверы и другое программное обеспечение, необходимое для загрузки конкрет- 
ного оборудования. 


Загрузчик операционной системы СВОВ 2 


Методы диагностики [іпих из командной строки загрузчика СВОВ 2 аналогичны 
методам, используемым в устаревшей командной строке загрузчика СКОВ. Сле- 
дуйте приведенным далее инструкциям, чтобы прервать процесс загрузки СКОВ 
в самых последних версиях систем Еейога, ВНЕГ. и ОЪипќи. 
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После включения компьютера и сразу после того, как появится экран ВТО$, на- 
жмите любую клавишу (например, 1). На экране появятся несколько пунктов 
меню, представляющих различные ядра. 


Из доступных строк по умолчанию загружается последнее доступное ядро (оно 
выделено и готово к загрузке). Однако можете выбрать другое ядро, если верно 
одно из следующих условий. 


= Текущее ядро повреждено, и нужно выбрать более старое работающее ядро. 


= Вы хотите запустить ядро, которое представляет собой совершенно другую 
операционную систему, установленную на диске. 


а Вы хотите запустить восстановительное ядро. 


Для запуска ядра Ііпих выделите нужное с помощью клавиш 1 и { и введите е. 
Появятся команды, которые запускают систему (рис. 21.1). 


Ме1соме Ёо Пей Нат Епёегргіѕе І іпих Ѕегоег 
З+агііпу идеу: сок 1 
Зе іпд һоѕпаме +гіцтрћ.ехатр1е.сом: г оК 1 
Зеїіпд ир Іодіса! Чоіцте Мападемет* : 2 10уіса1 уо1іцте(5) іп чо1цте дгоцр "уд 


їгіцтрћ” пош ас+іче 
г ок 1 

Сһескіпу Ғі1еѕуѕіет= 

/део/таррегиод _гіцтрһћ-1у_гооЁ: с1еап, 88953/363688 Г11ез, 656485/1452832 Ъ1осКк= 
/део/зѕда1: с1еап, 38/128016 Г11ез, 49037/512000 Ъ1осКк= 

ок 
ок 
ок 
ок 
ок 


Ћетоцпё 119 гоої #11е5у$4ем іп геай-шгіїе моде: 
Моцпё іп 10са1 ғі1еѕуѕіемѕ: 

Епаћі іп 10са1 ѓі1еѕуѕ+ем циотаз: 

ЕпаЪ1іпд хеіс/Ғ#ѕёаЬ зыарз: 

Епіегіпд іпіегасііче ѕїагіцр 

Зіагі ѕегуісе ѕуѕѕіаї (Ү)еѕ/(№)0/(С)опёіпце? ГҮЈ _ 


т т а е 
ыыы 


Рис. 21.1. Прервите загрузчик СКОВ, чтобы изменить процесс загрузки 


Чтобы добавить аргументы в ядро, переместите курсор в конец строки, начи- 
нающейся с Ііпих, и введите нужные аргументы. (См. список параметров ядра 
на странице Кегпе!.огд/аос/Роситепїайоп/аатіп-диіае/кегте!-рагатеїегѕ.їхё). Приведу 
два примера: 


= се1іпих. Если проблема на стороне системы ЗЕГлпих, которая блокирует 
использование системы, отключите ее следующим образом: 


5е11пих=@ 


= сте. Одновременная многопоточность (ѕтё) позволяет одному ядру про- 
цессора выполнять несколько потоков. Чтобы исправить некоторые недо- 
статки микропроцессора, нужно отключить эту функцию. Можно сделать 
это во время загрузки, введя аргумент $ =1 или поз в командной строке 
ядра. 

Когда закончите добавлять аргументы, нажмите сочетание клавиш С+х, чтобы 

загрузить систему с добавленными аргументами ядра. 
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Запуск ядра 


После запуска ядра остается только следить за вероятными проблемами. В системе 
КНЕІ. появится экран Кеа На Ещегризе Глпих с медленно вращающимся знач- 
ком. Если хотите просмотреть сообщения с подробным описанием хода загрузки, 
нажмите клавишу Еѕс. 

В этот момент ядро пытается загрузить драйверы и модули, необходимые для 
использования оборудования на компьютере. Основное, что следует искать на 
этом этапе, — сбои оборудования, которые могут помешать какой-либо функции 
работать должным образом (хотя они могут быстро прокручиваться). Сейчас это 
происходит гораздо реже, чем раньше, но, возможно, нет нужного для оборудования 
драйвера или загружен неправильный драйвер, который вызывает ошибки. 

Прокручиваемые на экране сообщения, которые создаются при загрузке ядра, 
копируются в кольцевой буфер ядра. Как следует из названия, кольцевой буфер 
хранит сообщения ядра, удаляя старые сообщения после того, как заполнится. 
После полной загрузки компьютера вы можете войти в систему и ввести следу- 
ющую команду, чтобы записать эти сообщения ядра в файл (а позже просмотреть 
их с помощью команды 1ез5): 


# атеѕв > /Етр/Кегпе1_тѕе. Ех 
# 1еѕ55 /+тр/Кегпе1_тѕ=. х 


Я чаще всего направляю сообщения ядра в файл (выберите любое имя), чтобы 
можно было изучить их позже или перенаправить кому-то, кто может помочь отла- 
дить любые проблемы. Сообщения появляются по мере обнаружения компонентов, 
таких как процессор, память, сетевые карты, жесткие диски и т. д. 

В системах Глпих, поддерживающих службу ѕуѕќета, сообщения ядра хранятся 
в журнале ѕуѕёета. Таким образом, помимо команды йтеѕ& вы можете запустить 
команду јоигпа1с+1, чтобы увидеть сообщения ядра с момента загрузки до насто- 
ящего времени. Пример сообщений ядра системы КНЕТ. 7: 


# јоигпа1с+1 -К 
-- 1085$ Беріп аф Ѕаї 2019-11-23 10:36:31 ЕЗТ, 
епа а Ѕип 2019-12-08 08:09:42 ЕЅТ. -- 
№\ 23 10:36:31 гһе181 Кегпе1: І іпих мегѕіоп 4.18.0-147.0.3.е18 1.х86 64 
(тоскби1і190@х86-ут-@9.6биїі1а.епр.боѕ.гедһаї. сот) 
(всс уегѕіоп 8.3.1 20190507 (Кеа На? 8.3.1-4) 
(ССС)) #1 $МР Моп №үу 11 12:58:36 УТС 2019 
№\у 23 10:36:31 гһе181 Кегпе1: Соттапа 1іпе: 
ВООТ_ ІМАСЕ= (Һа0, тѕ051) /ут1іпи2-4.18.0-147.0.3.е18 1.х86 64 
гоо= /аеу/таррег/гһе1-гоо го гезите=/аем/таррег/гНе1-змар 
га. 1\т. 1у=гНе1/гоо{ га. ут. 1у=гһе1/ѕмар гһеб диіе+ 


№\ 23 10:36:31 гһе181 Кегпе1: Нурегуіѕог ӣе+ес+еа: КҮМ 
№\ 23 10:36:31 гһе181 Кегпе1: Кут-с1оск: Оѕіпе тѕгѕ 46564401 ... 


Нужно найти драйверы, которые не загружаются, или сообщения, показыва- 
ющие, что определенные функции оборудования не включены. Например, однажды 
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у меня была карта ТВ-тюнера (для просмотра телеканалов на экране компьютера), 
которая установила неправильный тип тюнера для обнаруженной карты. Исполь- 
зуя информацию о номере модели ТВ-карты и типе неисправности, я обнаружил, 
что настройки карты драйвера позволяют пробовать различные варианты, пока 
я не найду ту, которая соответствует моей карте тюнера. 

Описывая, как просматривать сообщения о запуске ядра, я немного забежал 
вперед. Прежде чем вы сможете войти в систему и просмотреть сообщения ядра, оно 
должно закончить вывод системы. Только завершив первоначальное обнаружение 
аппаратного обеспечения и загрузку драйверов, ядро передает системе инициализа- 
ции контроль над всем остальным, что необходимо сделать для загрузки системы. 


Диагностика системы инициализации 


Первый процесс системы, в котором ядро только что запустилось, зависит от ис- 
пользуемого средства инициализации. Для системы Ѕуѕќет У 111 это процесс 1п1\, 
для ѕуѕета — процесс ѕуѕета. В зависимости от того, что работает в вашей системе 
(для проверки введите рз-е+ | һеаа), следуйте описаниям Зузет У или ѕуѕ+ета, 
приведенным далее. В дистрибутиве КНЕТ. 6, в котором работают и Орѕќагї, 
и сует У 1т \, применяется инициализация Ѕуѕќет У. 


Диагностика системы инициализации буѕќет \ 


Еще несколько лет назад большинство систем Глпиах использовали Зузбет У іпі+ 
для инициализации служб в системе Глпих. В дистрибутиве ВНЕ, 6, когда ядро 
передает управление ходом загрузки процессу 1п1*, последний проверяет файл 
/еёс/іпіёёар на наличие указаний о том, как загрузить систему. 

Файл 111 аб сообщает процессу іпіє, какой уровень выполнения установлен 
по умолчанию, а затем указывает на файлы в каталоге /еёс/іпіё, чтобы перена- 
значить некоторые клавиши (например, Сі1+АіК+Оеіеќе для перезагрузки системы), 
запустить виртуальные консоли и определить местоположение скрипта инициа- 
лизации основных служб в системе /еїс/гс.ѕуѕіпії. 

При диагностике неполадок Гпих, возникающих после того, как процесс іпіё 
начался, двумя вероятными виновниками оказываются обработка файла гс. ѕуѕіпіє 
и скрипты уровня выполнения. 


Диагностика файла гс.ѕуѕіпі 


Как следует из названия, скрипт /еёс/гс.ѕуѕіпіё инициализирует множество ос- 
новных функций системы. Когда этот файл запускается с помощью команды іпії 
гс. ѕуѕіпії, устанавливаются имя хоста системы, файлы /ргос и /5у5#і1еѕуѕ+етѕ, 
ЗЕ тих, параметры ядра и выполняются десятки других действий. 

Одна из наиболее важных функций гс. ѕуѕіпіє — настройка хранилища в систе- 
ме. На самом деле, если процесс загрузки завершается неудачно во время обработки 
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файла гс.зуз1п1*, по всей вероятности, скрипт не смог найти, смонтировать или 
расшифровать локальные или удаленные устройства хранения данных, необходи- 
мые для запуска системы. 

Далее приведен список распространенных сбоев, которые могут возникнуть при 
выполнении задач из файла ѕуѕіпі+, и даны варианты их устранения. 


® Ошибка локального монтирования. Если запись в файле /еёс/Еѕ+ар не мон- 
тируется, процесс загрузки завершается до запуска служб уровня выполнения. 
Обычно это происходит, когда вы добавляете запись в файл /еёс/Ғѕ+арБ, в ко- 
торой есть ошибка. Когда файл #ѕ+аб не срабатывает, вы попадаете в оболочку 
суперпользователя с установленной корневой файловой системой только для 
чтения. Чтобы устранить эту проблему, нужно перемонтировать корневую фай- 
ловую систему, исправить файл #ѕ+аб, смонтировать запись файловой системы, 
чтобы убедиться, что теперь она работает, и перезагрузиться. Вот как выглядит 
нужная последовательность команд: 


# тоипЕ -о гетоипЁ, гм / 
# уіт /ефс/+$%аЬ 

# тоипЕ -а 

# гебоо* 


ПРИМЕЧАНИЕ 


Команда ут применяется, в частности, при редактировании файла /е</№аБ, поскольку она поддерживает его 
формат. При использовании команды үуіт столбцы окрашиваются в соответствующий цвет и выполняется про- 
верка ошибок. Например, записи в поле Моипї Орїіопѕ становятся зелеными, если они допустимы, и черными, 
если нет. 


ө Не установлено имя хоста. Если имя хоста установлено неправильно, про- 
верьте обработку файла гс. ѕуѕіпі+, чтобы увидеть ошибки. Чтобы задать имя 
хоста системы, скрипт гс. зу$1п1 использует значение НОЅТМАМЕ= в файле /еёс/ 
ѕуѕсоп+ів/пеёмогк. Если этот параметр не задан, то вместо него применяется 
имя 1оса1но$*. Значение имени хоста также может быть получено с ОНСР- 
сервера. 

ө Не удается расшифровать файловую систему. Скрипт гс. зуз1п1{ ищет в фай- 
ле /еёс/сгурё+аь информацию, необходимую для расшифровки зашифрованных 
файловых систем. Если этот файл будет поврежден, может потребоваться найти 
его резервную копию, чтобы расшифровать файловую систему. Не повезет, если 
вам будет предложено ввести пароль, а вы его не знаете. 


Другие особенности также задаются в скрипте гс.$у$1п1+. Он устанавливает 
режим ЗЕПпих и загружает аппаратные модули. А еще создает программные КА1Ю- 
массивы и настраивает группы томов и систему управления логическими томами. 
Проблемы, возникающие в любой из этих областей, отражаются в сообщениях об 
ошибках, которые появляются на экране после загрузки ядра и перед запуском 
процессов уровня выполнения. 
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Диагностика процессов уровней выполнения 


В Кеа Нас Ещегризе Глпах 6.х и ранних версиях, когда система загружается, служ- 
бы запускаются на основе уровня выполнения по умолчанию. Существует семь 
уровней выполнения, от 0-го до 6-го. Уровень выполнения по умолчанию обычно 
равен 3 (для сервера) или 5 (для рабочего стола). Далее приведены описания уров- 
ней запуска в системах Піпих вплоть до ВНЕ. 6. 


0. Завершение работы компьютера. Все службы отключены, работа компью- 
тера остановлена. 


1. Однопользовательский режим. Запускаются только процессы, необходимые 
для загрузки компьютера, включая монтирование всех файловых систем, и име- 
ющие доступ к системе с консоли. Сеть и сетевые службы не запускаются. Этот 
уровень обходит обычную проверку подлинности и загружает в корень запрос 
пользователя — так называемый ѕи1оріп. Вы можете применить этот режим, 
чтобы немедленно стать суперпользователем и изменить пароль. (Можете так- 
же применить слово ѕіпе1е вместо 1, чтобы перейти на однопользовательский 
режим выполнения. Разница между $1п21е и 1 заключается в том, что ѕіпе1е 
не запускает скрипты в каталоге /ес/гс1.а.) 


2. Многопользовательский режим без поддержки сети. Этот уровень выпол- 
нения используется редко. Первоначальный смысл его утерян. Ранние системы 
ОМІХ применяли этот уровень для запуска процессов ї+у в системах, где было 
несколько неинтеллектуальных терминалов, подключенных к системе. Это по- 
зволяло многим людям одновременно получать доступ к системе с символьных 
терминалов (многие работали из оболочки без графического интерфейса). 
Сетевые интерфейсы, как правило, не запускались, потому что постоянно ра- 
ботающие сетевые интерфейсы не были распространены. В наши дни уровень 
выполнения 2 обычно запускает сетевые интерфейсы, но не все. 


3. Многопользовательский режим без поддержки сети. Этот уровень выпол- 
нения обычно применяется на серверах Глпих, которые загружаются не с гра- 
фическим интерфейсом, а с простым текстовым приглашением в консоли. 
Сеть запущена, как и все сетевые службы. Графическая среда рабочего стола 
может быть установлена или не установлена (как правило, нет) на машинах, 
загружающихся на уровень выполнения 3, но и графические среды должны 
быть запущены после загрузки. 


4. Пользовательский уровень. Этот уровень запускает те же службы, что 
и уровень выполнения 3. Его можно применять, если вы хотите установить 
различные службы, доступные с уровней выполнения 3 и 4. Этот уровень вы- 
полнения обычно не используется. Вместо этого для загрузки задействуется 
уровень выполнения 3 или 5, при этом администратор по мере необходимости 
просто включает или выключает службы для работающей системы. 


5. Многопользовательский режим с поддержкой сети и графической оболоч- 
ки. Это уровень выполнения обычно применяется в настольных системах Глпих. 
Он запускает сеть и все сетевые службы, а кроме того, графическое приглашение 
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входа в систему в консоли. Когда пользователи входят в систему, они видят 
графическую среду рабочего стола. 


6. Перезагрузка компьютера. Этот уровень похож на уровень выполнения 0 
в том смысле, что завершает все службы и останавливает все процессы. Однако 
затем уровень 6 запускает систему. 


Уровни выполнения предназначены для установки степени активности в систе- 
ме Піпих. Уровень выполнения по умолчанию задан в файле /еёс/іпіёёар, но вы 
можете изменить его в любое время с помощью команды іпіє. Например, от имени 
суперпользователя введите команду іпі Ө для завершения работы, іпіё 3, если 
хотите завершить графический интерфейс (с уровня выполнения 5), но оставить 
все остальные службы активными, или іпі+ 6 для перезагрузки. 

Уровни выполнения по умолчанию (другими словами, уровень выполнения, на 
который вы загружаетесь) — это 3 (для сервера) и 5 (для рабочего стола). Часто сер- 
веры не имеют установленных рабочих столов, поэтому загружаются на уровень 3, 
чтобы не затрачивать ресурсы на обработку или не рисковать безопасностью из-за 
того, что рабочий стол работает на веб-серверах или файловых серверах. 

Вы можете увеличивать или уменьшать уровень выполнения. Например, адми- 
нистратор, выполняющий техническое обслуживание системы, может загрузиться 
на уровень 1, а затем ввести 1п1* 3, чтобы загрузить все необходимые службы на 
сервере. Для настройки рабочего стола можно загрузиться на уровень 5, затем 
спуститься на уровень 3, чтобы исправить рабочий стол (например, установить 
новый драйвер или изменить разрешение экрана), а потом ввести іпіё 5, чтобы 
вернуться на рабочий стол. 

Уровень служб на каждом уровне выполнения определяется сценариями по- 
следних, настроенных на запуск. Есть каталоги для каждого уровня запуска: файлы 
/еёс/гс@.а/, /ефс/гс1.а/, /еёс/пс2.4/, /еіс/псз.ӣ/ ит. д. Когда с приложением 
связан скрипт выполнения, он помещается в каталог /еіс/іпі+.а/, а затем симво- 
лически связывается с файлом в каждом каталоге /ефс/гс?.а/. 

Скрипты, связанные с каждым каталогом /ефс/гс?.а, начинаются с буквы К или 
5, за которыми следуют две цифры и имя службы. Скрипты, начинающиеся с бук- 
вы К, указывают, что служба должна быть остановлена, а скрипты, начинающиеся 
с буквы $, — что она должна быть запущена. Два следующих числа указывают 
порядок запуска службы. Вот примеры файлов, которые можно найти в каталоге 
/еїс/гсз.а/ и которые настроены на запуск: 


® 5015уѕ5+аї — начинает собирать системную статистику; 
$081реаб1е5 — запускает брандмауэр 1реаб1е$; 
510пеёмогк — запускает сетевые интерфейсы; 
$12г5у$10& — запускает системный журнал; 

528аито#ѕ — запускает автоматическое монтирование; 


55061иетоо+һ — запускает службу ВІџеѓооёћ; 


55555һа — запускает службу 5есиге ѕһе11; 
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Ѕ58п+ра — запускает службу синхронизации времени МТР; 
Ѕ85һера — запускает веб-сервер АрасВе; 

$90сгопа — запускает службу сгопа; 

$915т6 — запускает службу Ѕатђа; 

597гһпѕа — запускает службу Кеа Нас Меб\хогК; 


5991оса1 — запускает определенные пользователем локальные команды. 


Эти службы, запущенные из каталога /еёс/гсз.а, дают представление о порядке 
загрузки процессов при входе на уровень выполнения 3. Обратите внимание на то, 
что службы зуз5а* (собирает системную статистику) и 1реаб1е$ (создает бранд- 
мауэр системы) запускаются до запуска сетевых интерфейсов. За ними следуют 
гѕуѕ1ор (служба логирования системы) и различные сетевые службы. 

К моменту запуска скриптов уровня выполнения у вас уже должна быть работа- 
ющая система. В отличие от некоторых других систем Глпих, которые запускают все 
скрипты для уровня выполнения 1, затем 2, затем З и т. д., КНЕГ. переходит прямо 
в каталог, представляющий уровень выполнения, сначала останавливая все службы, 
которые начинаются с него, и запуская все те, которые начинаются с этого каталога. 

При запуске каждого скрипта $ вы увидите сообщение о том, запущена ли служ- 
ба. Вот что может пойти не так на этом этапе запуска системы. 


® Запуск службы не удался. Для правильной загрузки службе может потре- 
боваться доступ к сетевым интерфейсам или дисковому разделу, который 
не установлен. Большинство служб просто приостанавливаются, и запуска- 
ется следующий скрипт. Войдя в систему, вы сможете настроить службу. 
Некоторые методы настройки служб включают изменения в процессе демона, 
чтобы он перенаправлял больше данных в файл журнала, или запуск демона 
вручную, чтобы сообщения об ошибках приходили прямо на экран. Допол- 
нительную информацию о запуске служб вручную см. в главе 15 «Запуск 
и остановка служб». 


® Служба может зависнуть. Некоторые службы, не получившие то, что им нуж- 
но для запуска, могут бесконечно зависать, не позволяя вам войти в систему 
и устранить проблему. Некоторые процессы занимают больше времени при 
первом появлении после свежей установки, поэтому нужно подождать несколь- 
ко минут, чтобы увидеть, что скрипт по-прежнему работает, а не просто завис. 


Если не получается пройти мимо зависшей службы, перезагрузитесь в интер- 
активный режим запуска, который предлагается перед запуском каждой службы. 
Чтобы войти в этот режим в КНЕГ, перезагрузите и прервите работу загрузчика 
(нажмите любую клавищу, когда увидите 5-секундный обратный отсчет). Выделите 
строку, которую хотите загрузить, и введите е. Выделите строку ядра и введите е. 
Затем добавьте слово соп#ігт в конец строки ядра, нажмите клавишу Епќег и вве- 
дите 6, чтобы загрузить новое ядро. 

На рис. 21.2 показан пример сообщений, которые появляются при загрузке 
КНЕТ. в интерактивном режиме запуска. 
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Рис. 21.2. Подтвердите службу в интерактивном режиме запуска КВНЕ 


Большинство сообщений, показанных на рис. 21.2, генерируются из скрипта 
гс ѕуѕіпії. 

После приветственного сообщения запускается идем, чтобы следить за новым 
оборудованием, подключенным к системе, и загружать драйверы по мере необхо- 
димости. Задается имя хоста, активизируется управление логическими томами 
(ТУМ), проверяются все файловые системы (с добавленными томами ГУМ), 
монтируются все еще не смонтированные файловые системы, корневая файловая 
система перемонтируется на чтение и запись, и включаются все разделы подкачки 
ГУМ. Дополнительную информацию о ГУМ и других типах разделов и файловых 
систем см. в главе 12 «Управление дисками и файлами». 

Последнее сообщение Епёегіпе іпёегас+іме ѕёагёир сообщает вам, что процесс 
скрипта гс.ѕуѕіпі+ завершен и службы для выбранного уровня выполнения гото- 
вы к запуску. Поскольку система находится в интерактивном режиме, появляется 
сообщение с вопросом, хотите ли вы запустить первую службу (ѕуѕѕ+аё). Введи- 
те У, чтобы запустить ее, и перейдите к следующей. Найдя неисправную службу, 
запрашивающую запуск, введите М, чтобы она не запускалась. Если решите, что 
остальные службы можно запустить, введите С для продолжения запуска остальных 
служб. После того как система обнаружит, что неисправные службы не запущены, 
вернитесь назад и исправьте их. 

Последний комментарий о скриптах запуска. Файл /еЕс/гс.1оса1 — это одна 
из последних служб, запускаемых на каждом уровне выполнения. На уров- 
не выполнения 5 он связан с файлом /еёс/гс5.1/59910са11. Любую коман- 
ду, которую нужно запускать при каждой загрузке системы, можно поместить 
в файл гс.1оса1. 

Вы можете использовать файл гс. 1оса1, чтобы отправить сообщение по элек- 
тронной почте или запустить быстрое правило брандмауэра 1р+аб1ез при запуске 
системы. В общем, лучше применить существующий скрипт запуска или создать 
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новый самостоятельно, чтобы можно было управлять командой или командами как 
службой. Помните, что файл гс.1оса1 — это быстрый и простой способ заставить 
команды запускаться при каждой загрузке системы. 


Диагностика системы инициализации зу$ета 


Последние версии систем Еедога, КНЕТ. и ОБипи используют ѕуѕета вместо 
Зузет У іпі+ в качестве системы инициализации. И хотя ѕуѕёета более сложна, 
чем Зузет У 1п1*, она предлагает больше вариантов анализа того, что происходит 
во время инициализации. 


Процесс загрузки зу$ета 


Когда демон уз ета (/иѕг/116/ѕуѕёепа/ ѕуѕ&ета) запускается после запуска ядра, 
он приводит в движение все другие настроенные для запуска службы. В частности, 
отключает содержимое файла /еїс/ѕуѕёета/ ѕуѕёет/аеҒаи1+.+агреї, как в примере: 


# саї /ефтс/зузета/зузфет/аеаи1+ .+агзе* 
[911] 

Рреѕсгірііоп=бгарһіса1 Іпёег+Ғасе 
Роситепћаіоп=тап : ѕуѕ&ета. зрес1а1 (7) 
Кедиігеѕ=ти1+1-иѕег. агре 
Мапіѕ=а15р1ау-тапарег. ѕегуісе 
Соп+1ісіѕ=геѕсие.ѕегуісе геѕсие.Ёагреї 


АҒёег=ти1+і-иѕег.Фагре геѕсие.ѕегуісе геѕсие.агреї іѕр1ау-тапарег. ѕегуісе 
А110мІѕо1а+е=уеѕ 


Файл деҒаџ1+. агре? на самом деле является символической ссылкой на файл 
в каталоге /116/ѕуѕета/ѕуѕёет. Для сервера он может быть связан с файлом 
ти1+1-иѕег.ёагве, для рабочего стола — связан с файлом вгарһіса1.+агве+ (как 
показано в примере). 

В отличие от инициализации Ѕуѕіет У іпіё, которая просто запускает служеб- 
ные скрипты в алфавитно-цифровом порядке, служба ѕуѕтета должна работать 
в обратном направлении от файла дефаи1+ .+агве*, чтобы определить, какие службы 
и целевые объекты запускаются. В примере дефаи1* .+агре+ — это символическая 
ссылка на файл ргарИ1са1 .Хагре*. Перечисляя содержимое этого файла, вы можете 
увидеть следующее: 


® требуется, чтобы файл ти161і-иѕег.агвеї был загружен первым; 
® после него загружается служба аїѕр1ау-тапавег. зег\1се. 

Продолжив изучать, что требуется этим двум единицам, вы можете найти то, 
что нужно еще. Например, ти1+1і-иѕег.ёагвеї требует, чтобы Ббаѕіс.ёагреї (запу- 


скает различные базовые службы) и 915р1ау-тапавег . зегу1се (запускает диспетчер 
отображения, віт) запускали графический экран входа в систему. 
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Чтобы просмотреть службы, запускаемые файлом ти1+1 -иѕег.ёагвеї, пере- 
числите содержимое каталога /ес/ѕуѕбета/ зузет/ти1 {1 -иѕег.агвеї.мапіѕ, как 
в примере далее: 


# 15 /еїс/ѕуѕёета/ѕуѕ&ет/ти1+1-иѕег.агреЁ.мапё5/ 


аа. ѕегуісе Ком. ѕегмісе гһѕтсегёа. ѕегуісе 
аиаі+а. ѕегуісе Кѕтёипеа. ѕегуісе грсбіпа. ѕегуісе 
амаһі-ЯӢаетоп.ѕегуісе 11рѕТогарететЕ.ѕегуісе гѕ5уѕ10р.ѕегуісе 
сһгопуа. ѕегуісе 1іруіг+а. ѕегуісе ѕтаг+а. ѕегуісе 
сгопа . ѕегуісе тсе106. зегу1се ѕ5һа.ѕегуісе 
сирѕ.ра+ћ матоп1 ог. ѕегуісе $554 .ъег\1се 
апғ-такесасһе.ёітег — МодептМапазег . ѕегуісе фипеа. зег\1се 
Ғігема11а. ѕегуісе МефмогКМапазег. зег\/1се уо. ѕегуісе 
1габа1апсе . ѕегуісе п+$-с11еп* .+агрее утЁоо154. ѕегуісе 
Каитр . зег\1се гето+е-+#5 .+агвее 


Эти файлы являются символическими ссылками на файлы, которые опре- 
деляют, что начинать для каждой из этих служб. В системе они могут включать 
удаленную оболочку ($5На), печать (сирѕ), аудит (анала), сеть (МебхогкМававег) 
и др. Ссылки добавляются в этот каталог либо при установке пакета для службы, 
либо при включении службы с помощью команды ѕуѕћетс&1 епаб1е. 

Имейте в виду, что в отличие от зузет У іпі система ѕуѕёета может запускать 
или останавливать единичные файлы, которые представляют собой нечто большее, 
чем просто службы, и иным образом управлять ими. Она может управлять устрой- 
ствами, автоматическим монтированием, путями, розетками и т. д. После того как 
зузфета все запустила, вы можете войти в систему, чтобы предотвратить любые 
потенциальные проблемы. 

После входа в систему команда ѕуѕёетсі1 позволяет увидеть каждый ип -файл, 
который ѕуѕёета пытается запустить, например: 


# зузфетсЕ1 

имМТТ ГОАр АСТІМЕ 50В 
рЕЅСАІРТІОМ№ 

ргос-5уѕ-#5-ріпЕтЕ_ міѕс. аиёотоип 1оайеа асііме маі+іпе 
Агбіїгагу Ехеси+аб1е Е11е Еогтаф$ Е11е Ѕуѕ+ет 

5уѕ-Ӣеуісеѕ-рс...:00:16.0-ѕ0оипа-сагад.Яӣеуісе 1Іоайеа ас+іуе р1ирреа 
631хЕ$В/632хЕЗВ Нівһ реҒіпітіоп Аџаіо Сопго1 

5уѕ-ӣеуісеѕ-рс...:00:14.2-и504-4\х212.еуісе 1оайеа асііхме р1ирреа 
РреѕКЈеЁ 5550 


- .поипЁ 1оайеа асЕ1\е тоипёеа КооЄ Моип 

роо+ .тоипЁ Іоаеа асЕ1\е тоипёеа /боої 

аио+#ѕ . ѕегуісе 1Іоайеа асііме гиппіпе 
Аџиёотоипѕ +11езузфетз оп етапа 

сирѕ.ѕегуісе 1оайеа асііме гиппіпе 
СОРЅ Ѕсһедџ1ег 

һеера. ѕегуісе 1оаеа Ғаі1еа +Ғаі1еа 


Тһе Арасһе НТТР Ѕегуег 
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Из вывода зузетсЕ1 можно понять, произошел ли сбой какого-либо единичного 
файла. В примере видно, что запустить һеїра. ѕегуісе (ваш веб-сервер) не удалось. 
Продолжая исследование, используйте команду }]оцгпа1с+1 -и для этой службы, 
чтобы увидеть, были ли добавлены какие-то сообщения об ошибках: 


# јоигпа1с+1 -и Вера. зегу1се 


рес 08 09:30:36 гве181-6161е зу$+ета[1]: ѕ+агііпе Тһе Арасһе НТТР 
5егуег... 
Бес 08 09:30:36 гве181-6161е НЕра[16208]: Һера: ѕуп+ах еггог 
оп 1Ііпе 105 оф /ефс/НЕЕра/ соп+/ПЕЕра. соп: 
/ефс/ПЕЕра/ соп+/ Пера. соп#:105: <О1гесфогу> маѕ пої с1оѕеа. 
Бес 08 09:30:36 гве181-6161е ѕуѕ+ета[1]: һ+&ра.ѕегуісе: Маіп ргосеѕѕ ехі+еа, 
сойе=ехітеа, ѕ&аёиѕ=1/ РАІ ОКЕ 
Рес 08 09:30:36 гһе181-6іБ1е ѕуѕ+ета[1]: һ++ра. ѕегуісе: 
Ғаі1еа мі+һ гези1{ ‘'ех1{-соае'. 
Бес 08 09:30:36 гһе181-6бір1Іе ѕуѕ+ета[1]: 
Ғаі1еа Фо $фагЕ Тһе Арасһе НТТР $егуег. 


Из выходных данных видно, что в файле НЕЕра. соп* обнаружилось несоот- 
ветствие директив (не удалось закрыть раздел каталога). После того как ошибка 
была исправлена, я смог запустить службу (зузетсЕ1 ѕ+агї Һера). Если другие 
ип -файлы отображаются как невыполненные, можно снова запустить команду 
јоигпа1с+1 -и, используя эти имена ипії-файлов в качестве аргументов. 


Анализ процесса загрузки ѕЅуѕїета 


Чтобы точно увидеть, что произошло в ходе загрузки системы, использующей 
службу ѕуѕ+ета, система ѕуѕета применяет инструмент ѕуѕ+ета-апа1уғе. Чтобы 
узнать, остановились ли службы, или чтобы найти место для собственной службы 
ѕуѕ+ета, задействуйте эту команду для анализа всего процесса загрузки. Вот не- 
сколько примеров: 


# ѕуѕёета-апа1уғе +іте 
ЗфагЕир Ғіпіѕһеа іп 1.7755 (Кегпе1) + 21.8605 (іпі+га) 

+ 1тіп 42.4145 (иѕегѕрасе) = 2тіп 6.0515 
Бгарһіса1.Фагреї геасһеа аҒёег 1тіп 42.1215 іп иѕегѕрасе 


Параметр +іте позволяет увидеть, сколько времени заняла каждая фаза про- 
цесса загрузки, от старта ядра до конца загрузки целевого объекта по умолчанию. 
Вы можете использовать команду р1о+ для создания 5УС-графики каждого ком- 
понента процесса запуска (в примере применяется команда еов для отображения 
выходных данных): 


# зузфета-апа1уте р1ої > /&тр/ѕуѕ&ета-р1о+.ѕур 
# еор /&тр/ѕуѕ&ета-р10+.ѕур 


На рис. 21.3 показан небольшой фрагмент вывода из гораздо более крупного 
графика. 
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№ гр иѕеа 
Саспед 
№ 50 


Рис. 21.3. Фрагмент вывода из команды ѕуѕїета-апаіухе $а\ир р!о{ 


Здесь видны службы, которые запускаются после запуска службы МефмогКМа- 
парег . ѕегуісе. Темно-красный цвет показывает время, в течение которого за- 
пускается служба или цель. Если служба продолжает работать, это отображается 
светло-красным цветом. В этом примере служба Пера . ѕегуісе не запустилась 
после попытки запуска в течение 4,456 секунды. Это видно по белой полосе спра- 
ва, обозначающей, что служба не работает. На этом этапе вы можете использовать 
команду јоигпа1с+1, как описано ранее, чтобы устранить проблему. 

В следующем разделе говорится о том, как устранить неполадки, которые могут 
возникнуть с программными пакетами. 


Диагностика пакетов программного обеспечения 


Пакеты программного обеспечения (такие как уит для ВРМ и ар*-ве* для ОЕВ) 
предназначены для облегчения управления системным программным обеспечени- 
ем. (См. главу 10 «Управление программами» для получения основных сведений 
о том, как управлять пакетами программного обеспечения.) Однако, несмотря на 
все настройки, иногда пакет программного обеспечения может выйти из строя. 


ПРИМЕЧАНИЕ 


Команда ап заменила уит в последних системах Еедога и ВНЕ. В этом разделе часто описывается команда уит, 
так как в большинстве случаев она будет работать как в старых, так и в новых системах Еедога и ВНЕ, поскольку 
у нее есть псевдоним іпї. Команда іп используется, когда это требуется. 
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В следующих разделах описываются распространенные проблемы, которые 
могут произойти с пакетами ВРМ в системе КНЕІ. или Ее4ога, и способы их 
решения. 

Иногда при попытке установить или обновить пакет с помощью команды уит 
сообщения об ошибках говорят о том, что зависимые пакеты, необходимые для 
установки, недоступны. Это может произойти и в малом масштабе (когда вы пыта- 
етесь установить один пакет), и в большом (когда пробуете обновить всю систему). 

Из-за частых обновлений и больших репозиториев Еейога и ОЪипёеи несоот- 
ветствия в зависимостях пакетов возникают чаще, чем в более стабильных выбо- 
рочных репозиториях (например, как в системе Кей На Епѓегргіѕе Піпих). Вот что 
можно сделать, чтобы избежать сбоев зависимостей. 


® Используйте обновленные, хорошо проверенные репозитории. В дистрибу- 
тиве Ее4ога есть тысячи программных пакетов. Если вы задействуете основные 
репозитории Еейога для установки программного обеспечения текущей версии, 
то с ними редко возникают проблемы. 


После того как пакеты будут добавлены в репозиторий, проверены ответствен- 
ными за репозиторий и настроены (и вы при этом не работаете с внешними 
репозиториями), все, что требуется для установки выбранного пакета, окажется 
доступно. Однако при использовании сторонних репозиториев проявляются 
ошибки в зависимостях, которые они не могут контролировать. Например, если 
репозиторий создает новую версию собственного программного обеспечения, 
для которой требуются более поздние версии базового программного обеспе- 
чения (допустим, библиотеки), необходимые версии могут быть недоступны из 
репозитория Еедога. 


е Постоянно обновляйте свою систему. Каждую ночь запускайте команду ап# 
ирдате (или ушт ирдате в старых системах), чтобы снизить вероятность стол- 
кновения с серьезными проблемами зависимостей, что может произойти при 
обновлении системы лишь раз в несколько месяцев. В системах с рабочим 
столом СМОМЕ окно программного обеспечения позволяет проверять наличие 
обновлений и применять их к установленным пакетам программного обеспе- 
чения. В системах Еейога 22 и КНЕТ 8 (и более поздних версиях) появилась 
возможность добавлять автообновления (ѓейогаргојесЕ.ого/мікі/Аиѓо0рааќѓеѕ). Про- 
грамма Аџѓо0Орӣаѓеѕ автоматически загружает обновленные пакеты, если они 
доступны, а если они настроены, может и установить их. Еще один подход за- 
ключается в создании задания для проверки или запуска ночных обновлений. 
Подробнее о том, как это сделать, см. во врезке «Обновление программного 
обеспечения с помощью команды сгоп». 


® Время от времени обновляйте дистрибутивы. Дистрибутивы Еейога и ОЬипіи 
выпускают новые версии каждые шесть месяцев. Еейога прекращает предостав- 
лять обновленные пакеты для каждой версии через 13 месяцев после ее выпу- 
ска. Таким образом, нет необходимости обновляться до новой версии каждые 
шесть месяцев, однако вы должны делать это минимум раз в год, иначе можете 
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столкнуться с проблемами зависимостей и безопасности, когда обслуживание 
версии Ее4ога прекратится. 


Чтобы обновиться до последней версии этих дистрибутивов (например, 
с Еедога 30 до Еейога 31), выполните следующие действия: 


1) обновите до последней версии программное обеспечение: 
# ап ирёгаае --геҒгеѕһ -у 


2) установите плагин ап#-р1ивіп- ѕуѕ+ет-ирегайе: 


# апҒ 1п1$%а11 апғ#-р1иріп-ѕуѕ+ет-ирвгаае -у 


3) начните обновление до новой версии: 


# ап ѕуѕёет-ирвгайе аомп1оа4 - -ге1еаѕемег=31 


4) перезагрузите систему в процессе обновления: 


# ап ѕуѕёет-ирегайе героо+ 


Если хотите использовать стабильную систему, Веа Наб Епѓегргіѕе Глпих — луч- 
ший вариант, потому что он предоставляет обновления для каждой основной 
версии в течение семи лет или дольше. 


ПРИМЕЧАНИЕ 


Если вы в системе Џбипќи обновляете свои пакеты с помощью команды арі-деї, имейте в виду, что параметры 
ирӣаќе и ирдгаде в Џбипќи скомандой арі-деї имеют иные значения, чем скомандами пили уит (Еедога и ВНЕ). 


В системе ЏБипќи команда арї-деї ирдае вызывает загрузку в локальную систему последних метаданных па- 
кета (имен пакетов, номеров версий ит. д.). Команда арї-деї ирдгаде приводит к тому, что система обновляет 
все установленные пакеты, у которых есть новые доступные версии, на основе последних загруженных мета- 
данных. 


А каждый раз, когда вы запускаете команду дп# или уит в Еедога или ВНЕ, загружаются последние метаданные 
о новых пакетах для текущей версии. Затем команда ушт ирӣаќе загружает последние пакеты, доступные для 
текущей версии Ғейога или ВНЕГ. Чтобы перейти к следующей версии, необходимо запустить команду пЁ ѕуѕїет- 
ирдгаде, как описано ранее. 


Если вы столкнулись с проблемой зависимостей, вот несколько действий, ко- 
торые можно предпринять, чтобы попытаться решить эту проблему. 


ө Используйте проверенные репозитории. В последних версиях хорошо из- 
вестных дистрибутивов (например, КНЕТ, Ее4ога или ОБипел) проблемы с за- 
висимостями встречаются редко и быстро устраняются. Но если вы применяете 
репозитории для более старых версий или находящиеся в разработке (например, 
Еедога Ваућіе), скорее всего, проблем с зависимостями будет больше. Пере- 
установите или обновите пакеты, чтобы устранить эти проблемы. 


® Используйте сторонние приложения и репозитории только в случае необхо- 
димости. Чем дальше вы находитесь от ядра дистрибутива Глпих, тем больше 
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вероятность того, что когда-нибудь у вас возникнут проблемы с зависимостями. 
Всегда просматривайте основные репозитории своего дистрибутива, прежде чем 
искать пакеты в другом месте или пытаться создать их самостоятельно. 


Даже если пакет изначально работает, возможно, в дальнейшем он не будет 
обновлен. Пакет из стороннего репозитория может перестать работать, если 
создатели не предоставят новую версию при изменении зависимых пакетов. 


Изучите связанные с ядром зависимости. Если вы загружаете сторонние паке- 
ты ВРМ для такого оборудования, как видеокарты или беспроводные сетевые 
карты, содержащие драйверы ядра, и устанавливаете более позднее ядро, эти 
драйверы перестанут работать. В результате может случиться, что графический 
экран входа в систему не будет запускаться при загрузке системы или сетевая 
карта не станет загружаться, поэтому у вас не будет беспроводной сети. 


Поскольку большинство систем Глпих сохраняют два самых последних ядра, вы 
можете перезагрузиться, прервать загрузчик СКОВ и выбрать предыдущее (все 
еще работающее) ядро, с которого сможете загрузиться. Это заставит систему 
работать со старым ядром и действующими драйверами, пока вы исправляете 
неполадки. 


Основное решение состоит в том, чтобы загрузить новый драйвер, перестроен- 
ный для текущего ядра. Такие сайты, как гри оп.огд, создают сторонние пакеты 
драйверов с открытым исходным кодом и обновляют их при появлении нового 
ядра. С помощью репозитория гртйизюп.огд ваша система будет получать свежие 
драйверы при добавлении нового ядра. 


В качестве альтернативы сайту гри и$юп.ога вы можете пойти прямо на сайт 
производителя и загрузить его драйверы Глпих (Му1а предлагает драйверы 
Тіпих для своих видеокарт) или, если для драйвера доступен исходный код, 
попробовать создать его самостоятельно. 


Исключите часть пакетов из обновления. Если вы обновляете множество па- 
кетов одновременно, исключите те, которые влияют на другие, поскольку вы 
ищете проблемные. Вот пример того, как обновить все пакеты, нуждающиеся 
в обновлении, за исключением пакета зотераскаве (замените ѕотераскаве име- 
нем пакета, который хотите исключить): 


# уит -у --ехс1иде=5отерасваде ирӣа+е 


Обновление программного обеспечения с помощью команды сгоп 


Команда сгоп настраивает выполнение команд в заданное время и с заданными ин- 
тервалами. Вы можете установить точные минуту, час, день или месяц выполнения 
команды. Можете настроить выполнение команды каждые пять минут, каждый 
третий час или в определенное время в пятницу днем. 


Чтобы применить команду для ночных обновлений программного обеспечения, на- 
стройте ее от имени суперпользователя, выполнив команду сгопкаь -е. Откроется 
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файл с помощью редактора по умолчанию (команда \1), который настраивает файл 
сгопфаьБ. Вот пример того, как может выглядеть созданный вами файл спопёаб: 


# міп Поиуг аау/топЕһ мопфП аау/меек соттапа 
59 23 Ы ы Ы ап -у ирааёе | таї1 гоо+@1оса1һоѕ+ 


Файл сгоп+ар состоит из пяти полей, обозначающих день и время, и поля, содержа- 
щего командную строку для запуска. Я добавил строку комментария, чтобы обозна- 
чить поля. В примере задействуется команда ап+ -у ирдафе, а ее выходные данные 
отправляются по почте пользователю гоої@осаіћоѕї. Команда выполняется в 23:59. 
Звездочки (*) необходимы в качестве заполнителей, указывающих на выполнение 
команды в каждый день месяца, месяц и день недели, 


Создавая новую запись, убедитесь, что вы либо направляете вывод в файл, либо 
передаете его в команду, которая может работать с выводом. Если этого не сделать, 
все выходные данные будут отправлены пользователю, выполнившему команду 
сгопёар -е (в данном случае суперпользователю). 


В файле сгопаь можете назначить диапазон чисел или список чисел либо вообще 
их пропустить. Например, 1, 5 или 17 в первом поле вызывает выполнение команды 
через 1, 5 и 17 минут в тот час, который указывается в поле һоиг. Значение */3 во 
втором поле заставляет команду выполняться каждые три часа (полночь, 3 часа 
ночи, б часов утра ит. д.). Значение 1-3 в четвертом поле указывает сгоп выполнить 
команду в январе, феврале и марте. Дни недели и месяцы могут задаваться в виде 
цифр или слов. 


Чтобы узнать больше о формате файла сгоптав, введите команду тап 5 сгоп+аБ. Чтобы 
прочитать о команде сгоп&аб, примените команду тап 1 сгопќар. 


Исправление ошибок баз данных КРМ и кэша 


Информация обо всех пакетах КРМ в вашей системе хранится в локальной базе 
данных КРМ. Хотя и гораздо реже, чем в более ранних версиях Еейога и ВНЕТ, 
но база данных КРМ может быть повреждена. Из-за этого нельзя устанавливать, 
удалять или перечислять пакеты КРМ. 

Если вы обнаружили, что команды грт и уип зависают и не выполняются, выво- 
дя сообщение гртаб ореп #а11$, попробуйте перестроить базу данных КРМ. Чтобы 
убедиться, что в базе данных КРМ есть проблема, запустите команду ушт сһеск. 

Вот пример того, как выглядит вывод этой команды при поврежденной базе 
данных: 

# уит сһеск 

еггог: 964 еггог(11) гот ЧБбепу->ореп: Кеѕоигсе фетрогаг11у 

ипауа11аб1е 

еггог: саппоф ореп Раскареѕ 1п4ех ч51пё 964 — Везоигсе фетрогаг11у 
ипауаі1аб1е (11) 

еггог саппоЕ ореп Раскареѕ дафабазе іп /\аг/116/грт 

СКТТТСАЕ : уит.таіп: 

Еггог: гртаб ореп +а115$ 
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База данных КРМ и другая информация об установленных пакетах КРМ 
хранятся в каталоге /маг/116/грт. Вы можете удалить файлы базы данных, начи- 
нающиеся с __95*, и перестроить их из метаданных, хранящихся в других файлах 
этого каталога. 

Перед началом работы рекомендуется создать резервную копию каталога /маг/ 
116/грм. Затем нужно удалить старые файлы __96* и перестроить их заново. Для 
этого введите следующие команды: 

# ср -г /\маг/11Ь/грм /&тр 
# са /маг/11Ь/грт 

# гт __аб* 

# грм --іпіёар 


Новые файлы __аь* появятся в этом каталоге через несколько секунд. Выпол- 
ните простую команду грт или уит, чтобы убедиться, что базы данных теперь в по- 
рядке. 

Точно так же, как КРМ имеет базы данных локально установленных паке- 
тов, так и функция Уит хранит информацию, связанную с репозиториями Уит, 
в локальном каталоге /маг/саспе/уит. С появлением команды @4п+ каталог кэша 
теперь называется /маг/сасНе/ап+. Кэшированные данные включают метаданные, 
заголовки, пакеты и данные подключаемых модулей уип. 

Если когда-нибудь возникнут проблемы с данными, кэшированными с помощью 
команды уит, вы можете их очистить. В следующий раз при запуске команды уит не- 
обходимые данные будут загружены снова. Причины для очистки кэша уит таковы. 


е Метаданные устарели. При первом подключении к репозиторию Уит (путем 
загрузки пакета или запроса репозитория) метаданные загружаются в систему. 
Они состоят из информации обо всех доступных пакетах из репозитория. 


По мере добавления и удаления пакетов из репозитория метаданные должны 
обновляться, иначе система будет работать со старой информацией. По умол- 
чанию запущенная команда 4п+ проверяет наличие новых метаданных, если 
старые метаданные старше 48 часов (или на значение минут тебайа+а_ехрігеғ=, 
установленное в файле /еёс/апЕ/ ап. соп+). 


Если метаданные устарели, но срок их действия еще не истек, запустите команду 
4п+ с1еап тефадата, чтобы удалить все метаданные и принудительно загрузить 
новые метаданные при следующей загрузке. Кроме того, можете запустить 
команду ап+ такесасће, чтобы загрузить обновленные метаданные из всех ре- 
позиториев. 


е Не хватает места на диске. Обычно уит может кэшировать до нескольких сотен 
мегабайт данных в каталогах /уаг/саспе/ап+. Однако в зависимости от настро- 
ек файла /еёс/апЕ/ап#. соп (например, кеерсасһе=1, который сохраняет все 
загруженные КРМ даже после их установки) каталоги кэша могут содержать 
несколько гигабайт данных. 


Чтобы очистить все пакеты, метаданные, заголовки и другие данные, хранящие- 
ся в каталоге /уаг/саспе/ап+, введите следующее: 


# уит с1еап а11 


21 
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На этом этапе ваша система получает актуальную информацию из репозиториев 
при следующем запуске команды уим. 
Далее говорится о диагностике неполадок в сети. 


Диагностика сети 


Поскольку все больше и больше информации, изображений, видео и другого кон- 
тента, который мы используем каждый день, теперь доступно за пределами наших 
локальных компьютеров, рабочее сетевое соединение требуется почти в каждой 
компьютерной системе. Поэтому, если вы отключаете сетевое соединение или 
не можете связаться с другими системами, полезно узнать, что в Піпих есть много 
инструментов для решения этой проблемы. 

Для клиентских компьютеров (ноутбуков, настольных компьютеров и портатив- 
ных устройств) требуется подключение к сети для доступа к другим компьютерным 
системам. На сервере необходимо, чтобы клиенты могли связаться с вами по сети. 
В следующих разделах описываются различные инструменты устранения непо- 
ладок сетевого подключения для клиентских и серверных систем Глпих. 


Диагностика исходящих соединений 


Допустим, вы открываете браузер, но не можете попасть ни на один сайт. Скорее 
всего, вы не подключены к сети. Возможно, проблема заключается в разрешении 
имен, но она может быть связана и с подключением за пределами вашей локальной 
сети. 

Чтобы проверить, работают ли исходящие сетевые соединения, можно восполь- 
зоваться множеством команд, описанных в главе 14 «Администрирование сети». 
Проверьте подключение с помощью простой команды р1пв. Чтобы проверить, 
работает ли перенос имен в адрес, примените Но$* и а1в. 

В следующих разделах рассматриваются проблемы, с которыми вы можете 
столкнуться при подключении к сети для исходящих подключений, и инструменты 
для их устранения. 


Обзор сетевых интерфейсов 


Чтобы увидеть состояние ваших сетевых интерфейсов, используйте команду ір. 
В приведенном далее выводе показано, что кольцевой интерфейс (10) включен 
(так что вы можете запускать сетевые команды в локальной системе), но карта 
еһе (ваша первая проводная сетевая карта) отключена (состояние ромм). Если бы 
интерфейс был включен, строка іпеї показывала бы его ІР-адрес. В примере же 
только кольцевой интерфейс имеет адрес 1пе* (127.0.0.1): 

# ір аааг ѕһом 


1: 10: <ЕООРВАСК ‚УР , ГОМЕК_УР> шеи 16436 а41$с подиеие ѕёае ОМКМОММ 
1іпк/1оорбаск 00:00:00:00:00:00 Бга 99:00:00:00:00:00 
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іпеё 127.0.0.1/8 ѕсоре Поз+ 10 
іпеёб ::1/128 ѕсоре һоѕі 
уа1іа Іғё Ғогемег ргеҒеггеа 1+ Фогеуег 
2: еһе: <№-САККІЕК, ВКОАРсСАЅТ,МОІТІСАЅТ,ОР> ми 1500 $з+афе омм а1еп 
1000 
1іпк/еёһег +0:4е:+1:28:46:499 Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ: ҒҒ 


По умолчанию в системах КНЕТ. 8 и Еедога называния сетевых интерфейсов 
зависят от того, как они подключены к физическому оборудованию. Например, 
в ВНЕЕ 8 можно встретить сетевой интерфейс епр1156. Это означает, что сетевой 
адаптер представляет собой проводную карту Ефегпей (еп) на плате РСТ 11 (р11) 
и слоте 0 (59). Беспроводной адаптер обозначается м1, а не еп. Суть состоит в том, 
чтобы сделать имена сетевых карт более предсказуемыми, потому что при пере- 
загрузке системы не гарантируется, как операционная система назовет сетевые 
интерфейсы еһе, еЁһ1 ит. д. 


Проверка физического соединения 


При проводном подключении убедитесь, что компьютер подключен к порту сетево- 
го коммутатора. Если у вас несколько сетевых адаптеров, проверьте, чтобы кабель 
был подключен правильно. Если знаете имя сетевого интерфейса (еһе, рар1 или 
другое), которое понадобится, чтобы определить, какой сетевой адаптер связан 
с интерфейсом, введите команду еһёоо1 -р еһе и посмотрите, какой сетевой адап- 
тер на задней части компьютера мигает (нажмите сочетание клавиш Сії+С, чтобы 
остановить мигание). Подключите кабель к нужному порту. 

Если вместо того, чтобы отобразить неработающий интерфейс, команда ір 
не показывает вообще никакого интерфейса, проверьте, не отключено ли оборудо- 
вание. Возможно, карта проводного сетевого адаптера неплотно установлена в свой 
слот или сетевой адаптер отключен в ВІО. 

При беспроводном соединении вы можете щелкнуть на значке программы 
МебуогкМапавет и не увидеть доступных беспроводных интерфейсов. Они могут 
быть отключены в ВТО$. На ноутбуке проверьте, не отключен ли небольшой пере- 
ключатель, который отключает сетевую карту. Я встречал ситуации, когда пользо- 
ватели полностью перекраивали сетевые настройки, чтобы найти проблему, а все 
дело было именно в этом маленьком переключателе. 


Проверка маршрутов 


Если сетевой интерфейс включен, но вы все еще не можете добраться до нужного 
хоста, проверьте маршрут к нему. Начните с проверки маршрута по умолчанию. 
Затем свяжитесь с устройством шлюза локальной сети в следующую сеть. Наконец, 
пропингуйте систему в Интернете: 

# ір гоиёе ѕһом 

аеҒаи1+ уіа 192.168.122.1 еу епѕ3 ргофо аһср тегіс 100 


192.168.122.0/24 еу еп$3 ргофо Кегпе1 ѕсоре 11пК ѕгс 192.168.122.194 
пефг1с 100 
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Строка ӣеҒаи1+ показывает, что шлюз по умолчанию находится по адресу 
192.168.122.1 и туда можно попасть через карту еп$3. Поскольку в примере ис- 
пользуется только интерфейс еп$3 и показан лишь маршрут к сети 192.168.122.0, 
вся связь, не адресованная хосту в сети 192.168.122.0/24, передается через шлюз по 
умолчанию (192.168.122.1). Его правильнее называть маршрутизатором. 

Чтобы добраться до своего маршрутизатора, попробуйте применить команду 
ріпа, как в этом примере: 


# ріпе -с 2 192.168.122.1 

РТМб 192.168.122.1 (192.168.122.1) 56(84) Буіеѕ о# даа. 

64 Буфез Ғгот 192.168.122.1: істр ѕед=1 +{1=64 {1те=0.757 тѕ 
64 Буфез Ғгот 192.168.122.1: 1стр_зе4=2 1+1=64 ііте=0.538 т$ 
--- 192.168.122.1 р1пё ѕ+аіѕёісѕ --- 

2 раскеф$ +гапзм1+еа, 2 гесеімеа, 0% раске+ 1055, +іте 65т$ 
ГЕЕ т1п/ауё/тах/тдеу = 90.538/0.647/0.757/0.112 тз 


Сообщение о том, что конечный хост недоступен (Рез1па1оп Но$* Ипгеаспаб1е), 
свидетельствует, что маршрутизатор либо выключен, либо физически не подключен 
к компьютеру (возможно, он не подключен к коммутатору, который вы совместно 
используете). Если команда была выполнена и вы можете связаться с маршрутиза- 
тором, далее необходимо найти адрес за пределами маршрутизатора. 

Попробуйте пропинговать широкодоступный ТР-адрес. Например, ІР-адрес 
публичного О№$-сервера Соов1е — 8.8.8.8 (ріпв-с 2 8.8.8.8). Если это удалось, 
ваша сеть в порядке и, скорее всего, должным образом не работает перенаправление 
имени хоста на адрес. 

Если вы можете связаться с удаленной системой, но соединение очень медлен- 
ное, примените команду +гасегоиц*е, чтобы следовать по маршруту к удаленному 
хосту. Например, каждый шаг на пути к ммм.доодіе.сот показывает команда: 


# Тгасегоиёе ммм. воо81е. сот 


Выходные данные демонстрируют время, затраченное на каждый шаг на пути 
к сайту Сообе. Вместо команды &гасегоиќе используйте команду тег (ушт іпѕба11 
пег), чтобы просмотреть маршрут к хосту. С помощью команды тё" маршрут за- 
прашивается непрерывно, так что можно наблюдать за выполнением всех этапов 
маршрута с течением времени. 


Проверка разрешения имени хоста 


Если вы не можете связаться с удаленными хостами по имени, но можете сделать 
это, отправив ІР-адреса, значит, есть проблемы с разрешением имен хостов. Систе- 
мы, подключенные к Интернету, преобразуют имена в адреса, связываясь с серве- 
ром системы доменных имен (05), который может предоставить им ІР-адреса 
запрашиваемых хостов. 

ЮОМЅ-сервер, используемый вашей системой, можно ввести вручную или авто- 
матически получить с ОНСР-сервера при запуске сетевых интерфейсов. В любом 
случае имена и ІР-адреса одного или нескольких ОМ№5-серверов попадают в ваш 
файл /еёс/геѕо1у. соп+. Вот пример этого файла: 
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ѕеагсһ ехатр1е. сот 
патезегуег 192.168.0.254 
патеѕегумег 192.168.0.253 


При подключении к имени хоста в системах Ее4ога или Кеа На Епќегргіѕе 
Гіпих выполняется поиск файла /еёс/һћоѕѕ, затем запрашиваются записи сервера 
имен в файле геѕо1у. соп# в том порядке, в котором они появляются. Вот несколько 
способов решения проблем с переводом имен в адрес. 


е Проверьте, можно ли связаться с ОМ№$-сервером. Зная адреса серверов имен, 
вы можете применить команду ріпе для ІР-адреса каждого сервера имен, чтобы 
узнать, доступен ли он. Например, ріпе -с 2 192.168.0.254. Если ІР-адреса мож- 
но достичь, возможно, вам был назначен неправильный адрес для О№5-сервера 
или он в настоящее время не работает. 


ө Проверьте, работает ли сервер ОМ№$. Каждый О№-сервер необходимо исполь- 
зовать с командой һоѕё или дів. Например, любая из этих команд проверяет, 
может ли О№5-сервер на адресе 92.168.0.254 разрешить имя хоста мим. воов1е. сот 
для ІР-адреса. Повторите эту команду для каждого ІР-адреса сервера имен, пока 
не определите, какие из них работают: 


# по$Е имм.20081е.сот 192.168.0.254 

Оѕіпе дота1п зегуег: 

Мате: 192.168.0. 254 

Аайгеѕ5: 192.168.0.254#53 

А1іаѕеѕ: 

мим. воо21е.сот Паз аййгеѕѕ 172.217.13.228 

мим. воо21е.сот Паз ТР\б ааагеѕѕ 2607:+860:4004: 809: :2004 
# аір @192.168.0.254 ммм. воо21е. сот 


;; ОЦЕЗТТОМ ЅЕСТІОМ: 
мм. 2оо81е. сом. ТМ А 


;; АМЗМЕК ЅЕСТІОМ: 
мим. вОО21е. сот. 67 ІМ А 172.217.13.228 


® Настройте свои ОМ№$-серверы. Если вы определили, что у вас есть неправиль- 
ные ІР-адреса, установленные для ОМ5$-серверов, изменить эти адреса может 
быть довольно сложно. Поищите в файле /уаг/1о5/теззавез или в выводе 
команды јоигпа1с+1 ТР-адреса своих ОМ5-серверов. Если для подключения 
к сети и ОНСР-серверу задействуется программа МебуогкМапавег, вы увидите 
строки сервера имен с назначенными ІР-адресами. Если адреса неверны, можете 
их переопределить. 


При использовании Меб\уогкМапабег нельзя просто добавить записи о сервере 
имен в файл /еёс/геѕо1у.соп+, поскольку программа перезаписывает этот файл 
собственными записями о сервере. Вместо этого добавьте строку РЕЕВО№5=по 
в файл і#с+е для сетевого интерфейса (например, 14 с+в-ееИ@ в каталоге /еёс/ 
ѕуѕсопЕів/пеёногк-ѕсгіріѕ). Затем установите 0№51=192.168.0.25 (или свой 
ТР-адрес 0№5-сервера). Новый адрес будет задействован при следующем пере- 
запуске сети. 
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При использовании сетевой службы вместо программы Меб\уогкМапазег все 
равно можно применить строку РЕЕКОМ№Ѕ=по, чтобы предотвратить перезапись 
ОНСР-сервером ваших ОМ№-адресов. Однако в этом случае вы можете отре- 
дактировать файл гезо1\.соп+ непосредственно для установки адресов ОМ5- 
серверов. 


Описанная проверка исходящего сетевого подключения применима к любому 
типу системы, будь то ноутбук, настольный компьютер или сервер. Входящие 
соединения чаще всего не становятся серьезной проблемой для ноутбуков или 
настольных компьютеров, потому что большинство запросов просто отклоняют- 
ся. А способы сделать сервер доступным, если у клиентов проблемы с доступом 
к службам, описываются в следующем подразделе. 


Диагностика входящих соединений 


Диагностика сетевых интерфейсов отличается от диагностики настольных си- 
стем. Поскольку большинство систем Глпих настроены как серверы, необходимо 
знать, как устранять проблемы, возникающие при попытке связаться с серве- 
рами Шпих. 

Начнем с веб-сервера АрасВе (нра), работающего в системе Ііпих, к которому 
не могут подключиться веб-клиенты. В следующих разделах описаны действия, 
помогающие обнаружить проблему. 


Проверьте, может ли клиент вообще связаться 
с вашей системой 


Чтобы сервер стал общедоступным, имя хоста вашей системы должно быть раз- 
решимым, чтобы любой клиент в Интернете мог к нему подключиться. Это под- 
разумевает блокировку вашей системы на определенном общедоступном ТР-адресе 
и его регистрацию на общедоступном О№$-сервере. Используйте для этого реги- 
стратор доменов, например ммм.пеёмогкѕоіийопѕ.сот. 

Когда клиенты не могут получить доступ к вашему сайту по имени из своих 
браузеров и при этом клиент — это система Глпих, примените ріпа По$* гасегои* 
и другие команды, описанные в предыдущем разделе, чтобы выяснить, в чем про- 
блема с подключением. Системы Міпаоуѕ имеют собственную версию ріпе. 

Если перенос «имя — адрес» работает и вы можете пинговать свой сервер извне, 
нужно рассмотреть доступность службы. 


Проверьте, доступна ли служба клиенту 


С помощью клиента іпих вы можете проверить, доступна ли искомая служба 
(в данном случае пера) с сервера. Один из способов сделать это — использовать 
команду птар. 
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Команда птар — это популярный у системных администраторов инструмент для 
проверки различных видов информации в сетях. Но этот инструмент популярен 
и у хакеров, потому что он позволяет сканировать серверы в поисках потенциаль- 
ных уязвимостей. Таким образом, можете использовать команду птар для скани- 
рования собственных систем на наличие проблем, но знайте, что ее применение 
в другой системе похоже на взлом. 

Проверить собственную систему, чтобы увидеть, какие порты на сервере от- 
крыты для внешнего мира (по сути, это проверка того, какие службы работают), 
совершенно законно и просто. После установки пакета птар (уцт іпѕ&а11 птар) ис- 
пользуйте имя хоста своей системы или ІР-адрес, чтобы просканировать систему 
с помощью команды птар: 


# птар 192.168.0.119 

ЗфагЕ1па Мтар 6.40 ( Һр: //птар.оге ) а 2019-12-08 13:28 ЕЗТ 
М№пар ѕсап герогЕ Фог ѕріке (192.168.0.119) 

Ноѕ 15 ир (0.00375 Тафепсу). 

№ °Поит: 995 Ғі1+егеа рогіѕ 

РОВТ ЅТАТЕ ЅЕКМІСЕ 

21/&ср ореп ёр 

22/+ср ореп 55һ 

80/+ср ореп Һр 

443/Еср ореп Һ+Ёрѕ 

631/&ср ореп ірр 

МАС АдЯгеѕ5: 00:1В:21:0А:Е8:5Е (Іп+е1 Согрога+е) 

М№пар опе: 1 ТР аййгеѕ5 (1 һоѕЁ ир) ѕсаппеа іп 4.77 ѕесопӣѕ 


Выходные данные показывают, что ТСР-порты открыты для обычных (һёїр) 
и безопасных (һё+рѕ) веб-служб. Когда вы видите, что ТСР-порты открыты, это 
говорит о том, что служба прослушивает порт. Значит, сетевое соединение в по- 
рядке и нужно устранять неполадки в том, как настроена сама служба (например, 
вы можете заглянуть в файл /еёс/һра/соп#/һ+ра. соп+, чтобы узнать, разрешен 
или запрещен доступ к определенным хостам). 

Если ТСР-порты 80 и/или 443 не отображаются, это означает, что они филь- 
труются. Вам нужно проверить, блокирует ли ваш брандмауэр эти порты (не при- 
нимает пакеты). Если порт не фильтруется, но состояние закрыто, значит, служба 
Веера либо не работает, либо не прослушивает эти порты. Необходимо войти на 
сервер и проверить это. 


Проверьте брандмауэр на сервере 
Со своего сервера запустите команду ір+аБ1еѕ для перечисления существующих 


правил таблицы фильтров, например: 


# ірёаЬ1еѕ -мпі. 
Сһаіп ІМРОТ (ро11су АССЕРТ Ө раскеїѕ, 60 Бу{е$) 
ркёѕ Буфе$ +агреї ргоф орі іп ои ѕоигсе аеѕёіпабіоп 
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[2] 0 АССЕРТ ср -- * * 0.0.0.0/0 0.0.0.0/0 $фафе МЕМ ср 
ар+:80 

[2] @ АССЕРТ ср -- * * 0.0.0.0/0 0.0.0.0/0 $фафе МЕМ ср 
ар+:443 


Для систем КНЕТ. 8 и Еейога 30, в которых включена служба Е1гема114, можно 
использовать окно Еігема!! (Межсетевой экран) для открытия необходимых пор- 
тов. Выбрав вкладку 2опе апа Ѕегуісеѕ (Общедоступная зона и службы), установите 
флажки для һер и НЕЕрз, чтобы открыть эти порты для всего входящего трафика. 
Если ваша система применяет базовую службу ір+аб1еѕ, среди других правил 
должны быть правила брандмауэра, подобные двум показанным в предыдущем 
коде. Если их нет, добавьте эти правила в файл /еёс/ ѕуѕсопғів/ірёаб1еѕ. Вот при- 
меры того, как они могут выглядеть: 


-А ТМРОТ -м ѕёа+е --ѕ+абе МЕМ -т %ср -р ср --Ярогі 80 -ј АССЕРТ 
-А ТМРОТ -т ѕ+ае --ѕ+абе МЕМ -т %ср -р ср --Ярогі 443 -ј АССЕРТ 


Добавив правила в файл, очистите остальные правила брандмауэра (ѕуѕёетсё1 
$фор 1рфаб1е$. зегу1се или зегу1се ірёаБ1еѕ ѕ+ор), а затем добавьте их снова 
(ѕуѕёетс+1 зфаг{ 1реаб1ез . зег\1се или ѕегуісе ірёаб1еѕ ѕёагі). 

Если брандмауэр все еще блокирует доступ клиента к портам веб-сервера, вот 
что еще сделайте в брандмауэре. 


® Проверьте порядок правил. Проверьте правила в файле /еіс/ѕуѕсоп+ів/ 
1рфаб1е$ и посмотрите, не стоит ли правило ОВОР или ВЕЗЕСТ перед правилами, 
открывающими порты 80 и/или 443. Переместите эти правила вперед, поставив 
перед конечными ОВОР или ВЕЗЕСТ, — это может помочь решить проблему. 


® Поищите отклоненные хосты. Проверьте, не запрещают или не отклоняют ли 
какие-то правила пакеты определенных хостов или сетей. Ищите правила, 
включающие в себя -$ или --зоигсе1, за которыми стоят ТР-адрес или диапазон 
адресов, а затем -ј ОКОР или АССЕРТ. Измените правило или сделайте его прио- 
ритетным, чтобы создать исключение для хоста, которому нужно разрешить 
доступ к вашей службе. 


Если порт открыт, но сама служба закрыта, убедитесь, что она работает и про- 
слушивает соответствующие интерфейсы. 


Проверьте службу на сервере 


Если кажется, что доступ клиента к серверу ничего не блокирует через фактиче- 
ские порты, предоставляющие службу, стоит проверить ее саму. Предположим, 
что служба запущена (для проверки введите команду ѕегуісе Ира 5+афиз$ или 
зу$фетс{1 ѕаїтиѕ ПЕЕра. ѕегуісе в зависимости от своей системы), далее нужно 
проверить, прослушивает ли она соответствующие порты и сетевые интерфейсы. 

Команда пеѕ+аї — это отличный универсальный инструмент для проверки 
сетевых сервисов. Следующая за ней команда перечисляет имена и Ш (р) всех 
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процессов, которые прослушивают (1) службы ТСР (є) и ОПР (0и), а также номер 
порта (п) прослушивания. Командная строка отфильтровывает все строки, кроме 
связанных с процессом Ира: 


# пефзфаф -+ир1п | вгер Веера 
ср о д :::80 ны ІЅТЕМ 2567/НЕЕра 
ср 0 0 :::443 НЕЗ ІЅТЕМ 2567/һ++ра 


В примере показано, что процесс һёёра прослушивает порты 80 и 443 для всех 
интерфейсов. Вполне возможно, что он может прослушивать данные интерфей- 
сы. Например, если процесс Пра прослушивает только локальный интерфейс 
(127.0.0.1) для НТТР-запросов (порт 80), запись об этом будет выглядеть следу- 
ющим образом: 


ср 0 Ө 127.0.0.1:80 :::* ІЅТЕМ 2567/һ++ра 


Для службы һ++ра и других сетевых служб, которые прослушивают запросы 
на сетевых интерфейсах, можно отредактировать основной файл конфигурации 
службы (в данном случае /ефс/НЕЕра/ соп+/ пера. соп+), чтобы она прослу- 
шивала порт 80 на всех адресах (115%еп 80) или на конкретном адресе (115%еп 
192.168.0.100:80). 


Диагностика памяти 


Диагностика и устранение неполадок с производительностью компьютера — одна 
из самых важных, хотя и неочевидных задач, которые необходимо решить. Воз- 
можно, у вас есть система, которая раньше работала нормально, но в конце концов 
замедлилась до такой степени, что стала практически непригодной. Возможно, 
приложения начинают зависать без видимой причины. Чтобы найти и устранить 
проблемы такого рода, необходимо подключить дедукцию. 

В системы Гіпих входит множество инструментов для наблюдения за проис- 
ходящими в системе событиями. Используя различные утилиты Ііпих, вы можете 
выяснить, какие процессы потребляют большие объемы памяти или предъявляют 
высокие требования к процессорам, дискам или сети. Перечислю, что можно с этим 
сделать. 


® Увеличить объем памяти. Компьютер будет пытаться выполнить задачу в лю- 
бом случае, но сбои могут произойти и из-за того, что у него не хватает памяти, 
вычислительной мощности, дискового пространства или недостаточно пропуск- 
ной способности сети, чтобы обеспечить разумную производительность. Даже 
заканчивающиеся ресурсы могут вызвать проблемы с производительностью. 
Повышение производительности компьютера — самый простой способ решения 
этих проблем. 


® Настроить систему. Системы Глпих поставляются с настройками по умолчанию, 
которые определяют, как система сохраняет, перемещает и защищает данные. 
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Системные параметры можно изменить, если настройки по умолчанию не по- 
зволяют приложениям в вашей системе хорошо работать. 


® Обнаружить проблемные приложения или проблемных пользователей. Ино- 
гда система работает плохо, потому что пользователь или приложение работают 
неправильно. Неверно настроенные или сбойные приложения могут зависнуть 
или поглотить все ресурсы компьютера. Неопытный пользователь может по 
ошибке запустить несколько программ, которые истощат системные ресурсы. 
Системному администратору необходимо знать, как найти и устранить эти 
проблемы. 


Чтобы устранить проблемы с производительностью в Глпих, используйте не- 
которые из основных инструментов наблюдения за процессами, запущенными 
в вашей системе, и управления ими. Обратитесь к главе 6 «Управление активными 
процессами», чтобы узнать о командах рѕ, ор, кі11 и кі11а11. В следующих разде- 
лах мы рассмотрим команду тетз+а*, чтобы глубже разобраться в том, как работают 
процессы и где могут произойти сбои в работе. 

Наиболее сложная область диагностики в Глпих связана с управлением вирту- 
альной памятью. В следующих подразделах обсудим, как просматривать виртуаль- 
ную память и управлять ею. 


Выявление проблем с памятью 


Компьютеры могут хранить данные постоянно (жесткие диски) и временно (опе- 
ративная память (ВАМ) и раздел подкачки). Представим, что вы — процессор, 
работающий за столом, и хотите закончить свою работу. Данные, которые требуется 
постоянно хранить, вы бы поместили в шкаф в другом конце комнаты (похоже на 
хранение на жестком диске). А информацию, используемую в данный момент, по- 
местили бы на свой стол (как оперативная память на компьютере). 

Раздел подкачки позволяет расширить оперативную память. На самом деле это 
просто место, где можно расположить временные данные, которые не помещаются 
в оперативную память, но в какой-то момент могут понадобиться процессору. Хотя 
раздел подкачки находится на жестком диске, это не обычная файловая система 
Тлпих, в которой данные хранятся постоянно. 

Оперативная память обладает иными, нежели жесткий диск, свойствами. 


ө Она ближе к процессору. Подобно тому как рабочий стол находится рядом 
с вами, когда вы работаете, память физически находится на материнской плате 
компьютера рядом с процессором. Таким образом, он сразу же может исполь- 
зовать любые необходимые ему данные, если они размещаются в оперативной 
памяти. 


® Она быстрее. Оперативная память ближе к процессору и доступ к ней проще 
(твердотельные или механические жесткие диски), что позволяет процессору 
получать информацию из нее гораздо быстрее, чем с жесткого диска. Быстрее 
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взглянуть на лист бумаги на столе (маленьком, тесном пространстве), чем идти 
к шкафу в другом конце комнаты и долго искать то, что нужно. 


® Она меньше по объему. Новый компьютер может иметь жесткий диск объемом 
1 Тбайт или больше, но при этом 8 или 16 Гбайт оперативной памяти. Чтобы по- 
местить каждый файл и каждый фрагмент данных, которые могут понадобиться 
процессору, в оперативную память (что заставило бы компьютер работать 
быстрее), она должна быть очень большой. Кроме того, как слоты физической 
памяти на компьютере, так и сама компьютерная система (64-разрядные ком- 
пьютеры могут выделять больше оперативной памяти, чем 32-разрядные) могут 
ограничить объем оперативной памяти компьютера. 


® Она дороже. Хотя оперативная память сейчас намного доступнее, чем было 
десять лет и даже пару лет назад, она все еще намного дороже (за гигабайт) 
жестких дисков. 


® Она временная. Оперативная память содержит данные и метаданные, исполь- 
зуемые процессором для работы (плюс данные, которые ядро Г4пах хранит 
поблизости, потому что считает, что процесс вскоре будет нуждаться в них). 
Однако при выключении компьютера все, что находится в оперативной памяти, 
теряется. Когда процессор заканчивает работу с данными, они отбрасываются, 
если не нужны, остаются в оперативной памяти, если вскоре понадобятся, или 
помечаются для переноса на диск постоянного хранения, если их нужно со- 
хранить. 


Конечно, важно понимать разницу между временным (оперативная память) 
и постоянным (жесткий диск) хранилищем, но и это еще не все. Если запрос на 
память превышает возможности ОЗУ, ядро может временно переместить данные 
из ОЗУ в область, называемую разделом подкачки. 

Если вернуться к аналогии с письменным столом, это можно описать так: 
«На столе не осталось места, но мне нужно положить на него больше бумаг, необ- 
ходимых для проектов, над которыми я сейчас работаю. Вместо того чтобы хранить 
бумаги, которые мне скоро понадобятся, в шкафу, я отведу специальное место (на- 
пример, ящик стола) для хранения тех документов, с которыми все еще работаю 
и которые не готов хранить постоянно или выбросить». 

Дополнительная информация о файлах, разделах подкачки и о том, как их соз- 
давать, есть в главе 12 «Управление дисками и файлами». А сейчас стоит изучить 
виды разделов подкачки и условия их использования. 


® Когда данные переносятся из оперативной памяти в раздел подкачки (перекачи- 
ваются из памяти), производительность страдает. Помните, что запись данных 
на диск происходит намного медленнее, чем запись в оперативную память. 


® Когда нужные данные возвращаются из раздела подкачки в оперативную память 
(перекачиваются в память), производительность снова уменьшается. 


® Когда системе Глпих не хватает места в оперативной памяти, процесс пере- 
хода в раздел подкачки похож на потерю высокой передачи в автомобиле. 


618 Часть М • Администрирование серверов в Шпих 


Машина переключится на более низкую передачу, но не остановится полностью. 
Другими словами, все ваши процессы остаются активными, не теряют данных 
и не выходят из строя полностью, но производительность системы значительно 
снижается. 


® Если и оперативная память, и раздел подкачки заполнены и никакие данные 
нельзя удалить или записать на диск, система перейдет в состояние нехватки 
памяти (оиї-оЁ-тетогу, ООМ). Когда это происходит, включается «убийца» 
ядра и начинает завершать все процессы один за другим, чтобы восстановить 
столько памяти, сколько нужно ядру, чтобы снова начать нормально функ- 
ционировать. 


Общим правилом всегда было то, что применение раздела подкачки — это пло- 
хо и его следует избегать. Тем не менее некоторые пользователи утверждают, что 
бывают случаи, когда более агрессивная передача данных в раздел подкачки может 
действительно улучшить производительность. 

Представьте, вы открываете документ в текстовом редакторе, а затем сворачи- 
ваете его на рабочий стол, не используя в течение нескольких дней и работая над 
другими задачами. Если бы данные из этого документа были перенесены на диск, 
было бы доступно больше оперативной памяти для более активных приложений, 
которым это пространство пригодилось бы. Удар по производительности наступит 
в следующий раз, когда понадобится получить доступ к данным из отредактиро- 
ванного документа и данные будут перенесены с диска в оперативную память. 
Настройки системы, относящиеся к тому, насколько агрессивно она перекачивает 
данные, называются 5Фарртез$. 

Насколько возможно, система Глпих хочет сделать доступным все, что нужно 
активному приложению. И вновь проведем аналогию с рабочим столом: если 
я работаю над девятью активными проектами и на столе есть место для хранения 
информации, необходимой для всех них, почему бы не оставить их все в пределах 
досягаемости на столе? Точно так же и ядро иногда хранит в оперативной памяти 
библиотеки и другие данные, которые, по его мнению, могут понадобиться, даже 
если процесс не использует их в данный момент. 

Тот факт, что ядро склонно хранить в оперативной памяти информацию, 
которая, как оно ожидает, может понадобиться в ближайшее время, даже если 
не нужна сейчас, может заставить неопытного системного администратора думать, 
что система практически исчерпала оперативную память и процессы вот-вот на- 
чнут зависать. Поэтому важно знать о различных видах информации, хранящейся 
в памяти, чтобы можно было определить, когда она действительно заканчивается. 
Проблема заключается не только в нехватке оперативной памяти, но и в том, что 
оперативная память заканчивается, когда остаются только данные, не подлежащие 
переносу в раздел подкачки. 

Учитывайте эти сведения о виртуальной памяти (ОЗУ и раздел подкачки), по- 
скольку в следующем разделе описываются способы устранения связанных с ней 
неполадок. 
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Проверка проблем с памятью 


Допустим, на рабочем столе Глпих запущено много приложений и все они начинают 
зависать. Чтобы выяснить, что это проблемы с производительностью, возникшие 
из-за нехватки памяти, выполните команды Фор и рѕ, которые ищут информацию 
о потреблении памяти в системе. 

Чтобы отследить потребление памяти, введите команду Хор, а затем прописную 
букву М, например: 
# фор 
фор — 22:48:24 ир 3:59, 2 иѕегѕ, 1оа@ ауегаве: 1.51, 1.37, 1.15 
Таѕкѕ: 281 {офа1, 2 гипп1пя, 279 51ееріпе, 09 зфорреда, 60 хотріе 
Сри(5): 16.6%иѕ, 3.0%5у, 0.0%п1, 80.3%1іа, 0.0%ма, 0.ӨХһі, 0.2%51, 0.0%51 
Мет: 3716196К +оёа1, 2684924к иѕей, 1031272к Ғгее, 146172к Би+#+Ғегѕ 


Ѕмар: 4194296К Ёо+а1, Өк иѕеа, 4194296к Ғгее, 784176К сасһеа 
РТО ОЅЕК РК МТ МІКТ КЕЅ $НВ 5 СРО МЕМ ТІМЕ+ СОММАМО 
6679 спериѕ 20 Ө 1665т 937т 32т $ 7.0 25.8 1:07.95 ҒігеҒох 
6794 спеви 20 0 743т 181т ЗӘт К 64.8 5.0 1:22.82 пруіемег.біп 
3327 спериѕ 20 Ө 1145т 116т ббқп $ 0.0 3.2 0:39.25 ѕоҒҒісе. біп 
6939 спериѕ 20 ө 145т 71т 23 5 0.0 2.0 0:00.97 асгогеаа 
2440 гоої 20 ө 183т 37т 26м $ 1.3 1.0 1:04.81 Хогр 
2795 спеви$ 20 Ө 1056т 22т 14т 5 0.0 0.6 0:01.55 паиёі1иѕ 


В выводе есть две строки (Мет и 5мар) и четыре столбца информации (МТВТ, КЕЅ, 
ЅНК и #МЕМ), относящейся к памяти. В примере видно, что в строке Мет оперативная 
память не исчерпана (задействовано только 2684924 К из 3716196 К) и в строке $мар 
память не используется диском (@ К). 

Но если суммировать только первые шесть строк вывода в столбце \тв, бу- 
дет видно, что для приложений выделено 4937 Мбайт памяти, а это превышает 
3629 Мбайт общей доступной оперативной памяти (3716196 К). А все потому, что 
столбец УІК отображает только объем памяти, выделенный приложению. Строка 
КЕЅ показывает объем фактически используемой памяти без подкачки, который 
составляет всего 1364 Мбайт. 

Обратите внимание на то, что при сортировке по применению памяти с помо- 
щью прописной буквы М команда +ор знает, что нужно сортировать по столбцу КЕЅ. 
Столбец $НВ отображает память, которая может быть совместно использована дру- 
гими приложениями (например, библиотеками), а столбец МЕМ показывает процент 
общей памяти, потребляемой каждым приложением. 

Если вы думаете, что система достигла состояния нехватки памяти, в данных 
нужно найти следующую информацию. 


® Свободное пространство строки Мет равно нулю или близко к этому. 
® Значение используемого пространства в строке $мар не равно нулю и продол- 
жает расти. Это сопровождается замедлением производительности системы. 


® Поскольку экран ор обновляется каждые несколько секунд, то, если есть про- 
цесс с утечкой памяти (постоянно запрашивающий и использующий память, 
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но не возвращающий ее обратно), объем памяти \ТВТ растет, но, что более важно, 
расти будет и память ВЕб. 


® Если раздел подкачки действительно заканчивается, ядро начнет немедленно 
завершать процессы, чтобы справиться с состоянием нехватки памяти. 


Если у вас установлен и включен интерфейс Соскри, можете через него наблю- 
дать за применением памяти в режиме реального времени. Откройте интерфейс 
СосЕрЁ и выберите Ѕуѕіет » Метогу & Ѕмар (Система ў Память и обмен). На рис. 21.4 
показана система, в которой вся память потребляется несколькими видеопотоками, 
поэтому подключился раздел подкачки. 


1 оа4_\14ео 

Беё чГх_рау1оа4=Кеер 

измо& 9210 

П1пих (ЅгооЁ) оті іпи2-5.3.7-301.#с31.х86_64 гооЁ=/деохтаррегхГѓедога_ Іоса1ћоѕЁ-\ 
|-1іче-гоо го геѕцте=/део/таррегхѓедога_ Іоса1ћоѕі--1іче-ѕшар га. 1. 19=Гейога_\ 
Поса 1ћоѕ+- 1 іуе/гооё г4. 1ом. 1о=Ѓѓейога_ Іоса1һоѕі-1іуехѕиар гһЬ Чите 

іпієга (9гооЁ)/іпіёгатѓѕ-5.3.7-301.#с31.х86_64. ітд 


Ргеѕѕ Сіг1-х Ёо ѕёагі, Сіг1-с Рог а соттапі ргомр& ог Езсаре фо 
аіѕсага еаіїѕ апа гефигп фо 1һе мепи. Ргеѕѕіпу ТаЬ 11$%$ 
роѕѕіһ1е сотр1еїіопѕ. 


Рис. 21.4. Контролируйте использование оперативной памяти и подкачки в режиме реального 
времени с помощью интерфейса Соскріє 


Решение проблем с памятью 


Перечислю, ЧТО МОЖНО быстро сделать, чтобы справиться с состоянием нехватки 
памяти. 


® Немедленно завершить процесс. Если проблема с памятью связана с одним 
ошибочным процессом, можете просто завершить его. Войдите в систему как 
суперпользователь или владелец активного процесса, введите в верхнем окне 
РТ процесса, который хотите завершить, и выберите значение 15 или 9 в ка- 
честве сигнала. 


ө Удалить кэш страниц. Если вы просто хотите очистить часть памяти, чтобы 
решить проблему, сообщите системе, чтобы она удалила неактивный кэш 
страниц. После этого часть страниц памяти будет записана на диск, а другие 
удалены, потому что они хранятся постоянно и при необходимости их можно 
загрузить с диска. 


Это действие равносильно очистке рабочего стола и отправке всей информации, 
кроме самой важной, в корзину или в шкаф. Возможно, вскоре вам снова по- 
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надобится получить информацию из шкафа, но почти наверняка не все данные 
сразу. Продолжайте применять команду ор в одном окне Тегтіпа! (Терминал), 
чтобы увидеть изменение строки Мет при вводе от имени суперпользователя 
в другое окно Тегтіпа! (Терминал) следующей команды: 


# есһо 3 > /ргос/ѕуѕ/мт/агор сасһеѕ 


® Завершить процесс за пределами памяти. Иногда нехватка памяти делает си- 
стему настолько непригодной для использования, что нельзя получить ответ от 
оболочки или графического интерфейса. В этих случаях вы можете применить 
сочетание клавиш АК-+5у$Ва, чтобы немедленно завершить процесс, находящийся 
вне памяти. Это сочетание клавиш полезно и в случае зависания программ, так 
как ядро обрабатывает запросы АЌ+ЅуѕВа раньше других. 


Чтобы активизировать сочетание клавиш АК+5узВа, необходимо заранее уста- 
новить строку /ргос/зу$/Кегпе1 /зузга в значение 1. Проще всего это сделать, 
добавив строку Кегпе]1 .зузга =1 в файл /еїс/ѕуѕс+1. соп. Кроме того, необхо- 
димо использовать сочетание клавиш АК+5узВа из текстового интерфейса (на- 
пример, из виртуальной консоли, которая появляется при нажатии сочетания 
клавиш СИ+АКЧР2). Если строка Кегпе1 . зузга установлена в значение 1, вы 
можете завершить процесс в своей системе с самым высоким значением о00м, 
нажав сочетание клавиш АК+5у$Ва-+{ из текстового интерфейса. На экране по- 
явится список всех процессов, запущенных в системе, а в конце будет указано 
имя завершенного процесса. Можно повторять эти действия до тех пор, пока 
не будет завершено достаточно процессов, чтобы снова появился нормальный 
доступ к системе из оболочки. 


ПРИМЕЧАНИЕ 


Сочетание клавиш АК-5у5Ва можно использовать также для работы с невосприимчивой системой. Например, 
АК+5у$Ва-е завершает все процессы, кроме іпії. АН+5у5Ва-{ выводит в консоль список всех текущих задач 
и информацию о них. Чтобы перезагрузить систему, нажмите АК-+-5у5Ва-Б. См. файл уѕгд.їхї в каталоге /иѕг/ѕһаге/ 
дос/кегпеі-аос*/оситепїаќїоп, чтобы получить дополнительную информацию о сочетании клавиш АІЁ--5уѕК. 


Диагностика в режиме восстановления 


Если ваша система Глпих не загружается, лучше всего, вероятно, перейти в режим 
восстановления. Чтобы сделать это, нужно обойти систему Глпих на жестком диске 
и загрузить какой-нибудь восстанавливающий носитель (например, загрузочный 
ОЅВ-ключ или СО). После загрузки восстанавливающий носитель попытается 
смонтировать любые файловые системы, которые найдет в системе Глпих, чтобы 
можно было устранить любые проблемы. 

Для многих дистрибутивов Глпих установочный СО или Рур” могут служить 
загрузочным носителем для перехода в режим восстановления. Рассмотрим, как 
можно использовать установочный РУО системы ВНЕГ для перехода в режим 
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восстановления и исправления нерабочей системы Глпих (запишите образ на ОЅВ- 
накопитель, если на компьютере нет ОУП-накопителя). 


1. 


Загрузите установочный образ С” или Рур и запишите его на соответству- 
ющий носитель (СО или РУО). Информацию о записи на Ср и РУО см. в при- 
ложении А. (В качестве примера я использовал установочный РУО Ве4 Нас 
Ещегризе Шіпих 8.) 


Вставьте СО или Рур в дисковод на компьютере, на котором установлена не- 
рабочая система Глпих, и перезагрузите компьютер. 


Как только появится экран ВТО$, нажмите функциональную клавишу, отме- 
ченную на этом экране для выбора загрузочного носителя (возможно, это будет 
Е12 или Р2). 


Выберите дисковод (СО или ОУ) из списка загрузочных устройств и нажмите 
клавишу Ещег. 


Когда появится меню загрузки КНЕТ. 8, с помощью клавиш <, 1, { и > выделите 
слово Тгоибіеѕћоойпо (Диагностика) и нажмите клавишу Епг. На других загрузоч- 
ных носителях Глпих может быть вариант Везсие Моде (Режим восстановления) или 
что-то подобное. На следующем экране выберите пункт Везсие а Вед Наї Епќегргіѕе 
Ипих зубет (Восстановить Кей Наё Епќегргіѕе Глпиах) и нажмите клавишу Епег. 


Через несколько мгновений система Глпах загрузится на восстановительном 
носителе. При появлении запроса выберите язык и клавиатуру, а также ответьте, 
хотите ли запустить сетевые интерфейсы в системе. 


Если вы считаете, что вам нужно загрузить что-то из другой системы в своей 
сети (например, пакеты ВРМ или средства отладки), выберите вариант Үеѕ (Да) 
и настройте сетевые интерфейсы. Затем вас спросят, хотите ли вы попробовать 
смонтировать файловые системы из установленной системы Піпих в файле / 
тиф / ѕуѕітаре. 


Выберите Сопіпие (Продолжить), чтобы продолжить монтирование файловых 
систем (если это возможно) в каталоге /тпё/ ѕуѕітаве. Если все пройдет успеш- 
но, появится сообщение о том, что файловые системы были смонтированы 
в файл /тпё/ѕуѕітаре. 

Выберите ОК, чтобы продолжить. Появится приглашение оболочки для супер- 
пользователя (#). Теперь можно приступить к диагностике из режима восстанов- 
ления. После того как вы перейдете в этот режим, часть неповрежденной файловой 
системы будет смонтирована в каталоге /тпё/ ѕуѕітарве. Введите команду 1$ /тпё/ 
зуз1таре, чтобы проверить наличие файлов и каталогов с жесткого диска. 


В данный момент корень файловой системы (/) находится в файловой системе 


на восстановительном носителе. Для устранения неполадок в установленной си- 
стеме пих можно ввести следующую команду: 


# сһгоо /тп/ѕуѕітаре 
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Теперь каталог /тпё/ѕуѕіпаве становится корнем вашей файловой системы (/), 
а также он выглядит как файловая система, установленная на вашем жестком 
диске. Перечислю то, что можно сделать, чтобы восстановить систему, пока вы 
находитесь в режиме восстановления. 


® Исправить файл /еѓс/ЁѕќаЬ. Если файловые системы не удалось смонтировать 
из-за ошибки в файле /еёс/#ѕ+аб, необходимо исправить все проблемные 
строки (например, неправильные имена устройств или несуществующий ката- 
лог точки монтирования). Введите команду моип* -а, чтобы убедиться, что все 
файловые системы монтируются. 


© Переустановить недостающие компоненты. Возможно, файловые системы 
в порядке, но система не загрузилась из-за отсутствия какой-то необходимой 
команды или файла конфигурации. Эту проблему можно устранить, переустано- 
вив пакет с отсутствующими компонентами. Например, если кто-то по ошибке 
удалил /Біп/тоџпё, у системы не будет команды для монтирования файловых 
систем. Пакет и{1111пих заменит отсутствующую команду тоип*. 


е Проверить файловые системы. Если проблемы с загрузкой связаны с повреж- 
денными файловыми системами, запустите команду #ѕск (проверка файловой 
системы), чтобы проверить, есть ли какие-либо повреждения в разделе диска. 
Если они есть, команда #ѕск попытается их исправить. 


После окончания настройки системы введите команду ех1*, чтобы выйти из 
среды спгоо*, и вернитесь к макету файловой системы, который видит «живой» 
носитель. Если вы все закончили, введите команду гебоо+, чтобы перезагрузить 
систему. Перед этим обязательно извлеките носитель. 


Резюме 


Диагностика в системах Глпих может начаться с момента включения компьюте- 
ра. Проблемы могут возникнуть с ВІОЅ компьютера, загрузчиком или другими 
частями процесса загрузки, которые можно исправить, перехватив их на разных 
этапах загрузки. 

После запуска системы можно устранить неполадки с программными пакетами, 
сетевыми интерфейсами или исчерпанием памяти. Система Глпих включает в себя 
множество инструментов для поиска и исправления любой части системы пах, 
которая может сломаться и нуждается в исправлении. 

Следующая глава посвящена теме безопасности Глпих. Задействуя описанные 
в ней инструменты, вы сможете предоставить доступ к службам, необходимым вам 
и вашим пользователям, одновременно блокируя доступ к системным ресурсам, 
которые необходимо защитить. 
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Упражнения 


Упражнения, приводимые в этом разделе, позволяют опробовать методы диагно- 
стики и устранения неполадок в пих. Поскольку некоторые из описанных здесь 
методов потенциально могут повредить систему, я рекомендую не использовать 
рабочую систему, которую нельзя повреждать. В приложении Б представлены 
варианты решения упражнений. 


Данные упражнения относятся к теме диагностики проблем в Глпих. Они пред- 


полагают, что у вас компьютер со стандартной ВІОЅ. Чтобы выполнить эти упраж- 
нения, необходимо иметь возможность перезагрузить компьютер и прервать любые 
задачи, которые он может выполнять. 


1. 


10. 


Загрузите компьютер и, как только появится экран ВТО$, перейдите в режим 
настроек, как указано на экране ВТО5З. 


На экране настроек ВТО$ определите, является ваш компьютер 32- или 64-раз- 
рядным, включает ли он поддержку виртуализации и способна ли ваша сетевая 
интерфейсная карта загружать РХЕ. 


Перезагрузитесь. Сразу после того, как экран ВТО$ исчезнет, появится обратный 
отсчет до загрузки системы Глпих. Нажмите любую клавишу, чтобы перейти 
к загрузчику СКОВ. 

В загрузчике СВОВ добавьте параметр загрузки до уровня выполнения 1, чтобы 
выполнить обслуживание системы. 


После загрузки системы посмотрите на сообщения, созданные в кольцевом 
буфере ядра, которые отображают активность ядра при загрузке. 


В дистрибутивах Еейога и КЕНЕТ. запустите пробную версию команды уит 
ирӣа+е и исключите все имеющиеся пакеты ядра. 

Проверьте, какие процессы прослушивают входящие соединения в вашей си- 
стеме. 

Проверьте, какие порты открыты на внешнем сетевом интерфейсе. 
Выполните команду Фор в окне Тегтіпа! (Терминал). Откройте второе окно тер- 


минала, очистите кэш страниц и проверьте на экране команды Фор, доступно ли 
теперь больше памяти ВЕЗ. 


Если в системе подключен интерфейс СосКрі, откройте его, чтобы просмо- 
треть подробную информацию о текущем использовании памяти и подкачки 
системы. 


Часть \ 


Методы обеспечения 
безопасности в Ипих 


В этой части: 


Глава 22. Базовые методы обеспечения 
безопасности. 


Глава 23. Продвинутые методы обеспечения 
безопасности. 


Глава 24. Повышенная безопасность 
с технологией 5ЕИпих. 


Глава 25. Защита Шпих в сети. 


Базовые методы 
обеспечения безопасности 


В этой главе 


ш Использование базовой безопасности. 
и Мониторинг безопасности. 
= Аудити проверка безопасности. 


На базовом уровне защита системы Глпих начинается с физической безопасности, 
защиты данных, защиты учетных записей пользователей и безопасности программ- 
ного обеспечения. Периодически нужно проверять все это, чтобы убедиться, что 
система остается безопасной. 

Вот что нужно узнать. 


Кто может физически добраться до системы? 
Создаются ли резервные копии данных на случай опасности для системы? 


Хорошо ли защищены учетные записи пользователей? 


Является ли программное обеспечение частью безопасного дистрибутива пих 
и обновлены ли все патчи безопасности? 


® Не была ли система взломана или повреждена? 
В этой главе для начала мы изучим основные темы безопасности Глпих. В по- 


следующих главах более подробно описываются современные механизмы обеспе- 
чения безопасности. 


Физическая безопасность системы 


Первая линия обороны — это замок на двери серверной. Хотя закрыть его очень 
просто, это часто игнорируют. Доступ к физическому серверу означает доступ ко 
всем содержащимся на нем данным. Никакое программное обеспечение не может 
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полностью защитить ваши системы, если кто-то посторонний имеет физический 
доступ к серверу Ипих. 

Базовая физическая безопасность серверной включает в себя следующие эле- 
менты. 
® Замок или охранную сигнализацию на двери серверной. 


® Средства контроля доступа, разрешающие только авторизованный доступ 
и определяющие, кто входил в комнату и когда это произошло, например си- 
стему ввода ключ-карт. 


® Табличку на двери «Посторонним вход воспрещен». 
® Правила, определяющие, кто и когда может получить доступ в комнату, для 
таких групп, например, как уборщики, администраторы сервера и др. 


Физическая безопасность системы включает в себя контроль окружающей сре- 
ды. Необходимо установить системы пожаротушения и обеспечить надлежащую 
вентиляцию серверной. 


Аварийное восстановление 


План аварийного восстановления должен содержать ответы на следующие вопросы. 


® Какие данные должны быть включены в резервные копии? 
® Где должны храниться резервные копии? 
® Как долго сохраняются резервные копии? 
® Как резервные носители заменяются в хранилище? 
Резервные копии данных, носителей и программного обеспечения должны 


быть включены в контрольный список Ассеѕѕ Сопіго! Маїгіх (матрица контроля 
доступа). 


ВНИМАНИЕ! 


Важно определить, сколько резервных копий каждого объекта будет поддерживаться. Вам могут понадобиться 
только три резервные копии одного конкретного объекта, а другого, более важного, — большее количество 
КОПИЙ. 


Утилиты резервного копирования в системе пих: 


атапда (Айуапсеа Магуіапа Ашотайс Мебуогк Юіѕк Атсһіуег, продвинутый 
автоматический сетевой дисковый архиватор из Университета Мэриленда); 


сріо; 
аотр/геѕёоге; 


таг; 


гѕупс. 
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Утилиты сріо, іитр/геѕёоге и таг обычно предустановлены в дистрибутивах 
пах. Простой, но эффективный инструмент для резервного копирования данных 
по сетям — это утилита гѕупс. С ее помощью можно настроить задание для хра- 
нения копий всех данных в выбранных каталогах или зеркальных точных копий 
каталогов на удаленных компьютерах. 

Из упомянутых инструментов только атапаа не устанавливается по умолчанию. 
Тем не менее утилита атапда чрезвычайно популярна, потому что она очень гибкая 
и может создавать резервные копии даже системы Ұіпіо%ѕ. Если вам нужна до- 
полнительная информация о программе резервного копирования атапда, см. сайт 
атапаа.огд. В конечном счете выбранная вами утилита резервного копирования 
должна отвечать конкретным требованиям безопасности, принятым в вашей орга- 
низации. 


Защита учетных записей пользователей 


Учетные записи пользователей являются частью процесса аутентификации, позво- 
ляющего им входить в систему пих. Правильное управление учетными записями 
пользователей повышает безопасность системы. Настройка учетных записей рас- 
сматривалась в главе 11 «Управление учетными записями». Однако для повыше- 
ния безопасности с помощью управления учетными записями необходимо ввести 
несколько дополнительных правил. 


® Один пользователь имеет одну учетную запись пользователя. 


® Доступ к учетной записи суперпользователя должен быть ограничен. 


® Требуется определять даты истечения срока действия временных учетных за- 
писей. 


® Неиспользуемые учетные записи следует удалять. 


Один пользователь на одну учетную запись 


Учетные записи следует контролировать. То есть несколько человек не должны 
входить через одну учетную запись. Когда несколько человек совместно применяют 
одну учетную запись, нет возможности доказать, кто из них выполнил определен- 
ное действие. 


Ограниченный доступ 
к учетной записи суперпользователя 


Если несколько человек могут войти в учетную запись суперпользователя, снова 
появляется проблема. Вы не можете отслеживать, кто конкретно задействует эту 
учетную запись. Чтобы отследить, кто это делает, необходимо добавить правила 
применения команды ѕидо (см. главу 8 «Системное администрирование») вместо 
входа в учетную запись напрямую. 
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Вместо того чтобы предоставлять нескольким пользователям гоо{-права в си- 
стеме Глпих, вы можете предоставить их с помощью команды $идо. Команда ѕийо 
дает следующие преимущества безопасности. 


® Не обязательно передавать пароль суперпользователя. 
ө Можно точно настроить доступ к командам. 


ө Все попытки применения (в том числе неудачные) команды $чдо (кто, что, ко- 
гда) записываются в файл /уаг/1о5/зесиге. Последние системы Ііпих хранят 
все такие попытки в журнале ѕуѕёета (используйте команду у оигпа1с 1 -#, 
чтобы наблюдать за попытками доступа через зидо в режиме реального времени 
вместе с другими системными сообщениями). 


® После предоставления кому-то прав зидо вы можете попытаться ограничить 
корневой доступ к определенным командам в файле /еёс/ѕийоегѕ с помощью 
команды \15и40. Однако после предоставления пользователю гоо&-прав, даже 
ограниченных, трудно быть уверенными в том, что он не сможет найти способы 
получить полный гоо&-доступ к вашей системе и делать с ней то, что хочет. 


Один из способов держать такого пользователя в узде — отправка сообщений 
безопасности, предназначенных для файла /маг/10в/ѕесиге, на удаленный сервер 
журналов, к которому ни один из локальных администраторов не имеет доступа. 
Таким образом, любое злоупотребление привилегиями суперпользователя при- 
вязывается к конкретному пользователю и записывается так, что он не сможет 
скрыть свои следы. 


Срок действия временных учетных записей 


Если у вас есть консультанты, стажеры или временные сотрудники, которым ну- 
жен доступ к системам пих, важно настроить их учетные записи пользователей 
с указанием срока действия. Это гарантия на случай, если вы забудете удалить их 
учетные записи, когда им больше не понадобится доступ к системам организации. 

Чтобы создать учетную запись пользователя с датой срока действия, примените 
команду иѕегтоа в формате иѕегтоа -е гггг-мм-дд имя пользователя. В примере 
далее срок действия учетной записи +іт истекает 1 января 2021 года: 


# изегто@ -е 2021-01-01 +іт 


Чтобы убедиться, что срок действия учетной записи установлен правильно, 
дважды проверьте себя с помощью команды сһаве. Она используется в основном 
для просмотра и изменения устаревшей информации о пароле учетной записи 
пользователя, но может получить и доступ к информации об истечении срока дей- 
ствия учетной записи. Параметр -1 позволяет просматривать различную информа- 
цию, к которой команда сһаре имеет доступ. Просто передайте выходные данные 
команды сһарве в вгер и найдите слово Ассоип*. Это действие отобразит только дату 
срока действия учетной записи пользователя: 


# сһаве -1 +іпт | вгер Ассоипе 
АссоипЁ ехрігеѕ $ Јап 01, 2021 
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Как видно из примера, дата, когда истекает срок действия учетной записи поль- 
зователя + 1т, была успешно изменена на 1 января 2021 года. 


СОВЕТ 


Если вы не задействуете файл /еїс/ѕһайом для хранения паролей своей учетной записи, команда сһаде не сра- 
ботает. Чаще всего файл /еѓс/ѕһайом, по умолчанию хранит информацию о пароле в большей части систем іпих. 


Установите даты истечения срока действия учетной записи для всех временных 
сотрудников. Кроме того, просматривайте все даты истечения срока действия учет- 
ной записи в рамках мониторинга безопасности, Эти действия помогают устранить 
любые потенциальные лазейки в вашу систему Глпих. 


Удаление неиспользуемых учетных записей 


Хранить просроченные учетные записи опасно для системы. После того как поль- 
зователь покинул организацию, лучше всего выполнить ряд шагов, чтобы удалить 
его учетную запись вместе с данными. 


1. Найдите файлы в системе, принадлежащей учетной записи, с помощью команды 
Ғіпа / -изег иѕегпате. 

Установите срок действия учетной записи или отключите ее. 

Сделайте резервную копию файлов. 

Удалите файлы или передайте их новому владельцу. 


лем 


Удалите учетную запись из системы. 


Проблемы возникают, если не выполнить пункт 5 и истекшие или отключен- 
ные учетные записи сохранятся в системе. Злоумышленник, получивший доступ 
к вашей системе, может обновить учетную запись, а затем выдать себя за ее поль- 
зователя. 

Чтобы найти эти учетные записи, выполните поиск в файле /еёс/ѕһадом. Дата, 
обозначающая срок действия учетной записи, находится в восьмом поле каждой 
записи. Удобно было бы применять формат даты, однако вместо этого в данном 
поле отображается дата истечения срока действия записи в виде количества дней, 
прошедших с 1 января 1970 года. 

Используйте двухэтапный процесс автоматического поиска просроченных учет- 
ных записей в файле /еєс/ѕһайом. Во-первых, установите переменную оболочки 
(см. главу 7 «Простейшие скрипты оболочки») с сегодняшней датой в формате 
«дней с 1 января 1970 года». Затем с помощью команды вамк отформатируйте не- 
обходимую информацию из файла /еєс/ ѕһаом. 

Настройка переменной оболочки с текущей датой в виде числа дней, прошедших 
с 1 января 1970 года, не представляет особой сложности. Команда дае может вы- 
давать количество секунд с 1 января 1970 года. Чтобы получить необходимое зна- 
чение, разделите результат команды да+е на количество секунд в сутках — 86 400. 
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Далее показано, как настроить переменную оболочки ТОРАҮ: 


# ТОРрАҮ=$(есһо $(($(аафе --иЁс --Ча%е "$1" +%5)/86400))) 
# есһо $ТОрАҮ 
16373 


Затем учетные записи и даты их истечения извлекаются из файла /еёс/ ѕһайом 
с помощью команды вамк. Команда вамк — это версия программы СМО, исполь- 
зуемая в ОМІХ. Вывод команды показан в следующем примере. Как и следовало 
ожидать, многие учетные записи не имеют срока действия. Однако две записи, 
Сопѕи1&апё и Іп+егп, показывают дату истечения срока действия в формате «дней 
с 1 января 1970 года». Обратите внимание на то, что этот шаг вы можете пропу- 
стить. Он служит лишь для демонстрации. 


# вамк -Е: '{рг1пе $1,$8}' /еїс/ѕһайом 
сһгопу 
+сраитр 
јоһпаое 


Сопѕи1+апЕ 13819 
Тпфегп 13911 


Параметры $1 и $8 в команде вамк представляют поля имени пользователя 
и даты истечения срока действия в записях файла /еёс/ѕһадомн. Чтобы проверить 
даты истечения срока действия этих учетных записей, необходима усовершенство- 
ванная версия команды рамк: 
# вамк -Е: '{1+ (($8 > Ө) && ($ТОрАҮ > $8)) рг1пе $1}' /ефс/5Падом 


Сопѕи1+апЁ 
Іпёегп 


После команды вамк ($8 > 9) отображаются только записи с истекшим сроком 
действия. Чтобы убедиться, что эти даты миновали, переменная ТОрАҮ сравнивается 
с полем даты $8. Если ТОрАҮ больше, чем дата истечения срока действия учетной 
записи, она появится в списке. Как видно в предыдущем примере, в системе есть 
две просроченные учетные записи, которые необходимо удалить. 

Это все, что нужно сделать. Настройте переменную ТОрАҮ и выполните команду 
вамк. Все просроченные учетные записи в файле /еєс/ ѕһадом будут перечислены. 
Чтобы удалить их, примените команду изегае1. 

Учетные записи пользователей — это только часть процесса аутентификации, 
позволяющего им входить в систему пих. Пароли учетных записей пользователей 
также играют важную роль. 


Защита паролей 


Пароли — это основной инструмент безопасности любой современной операцион- 
ной системы, и, следовательно, их атакуют чаще всего. Естественно, пользователи 
хотят установить пароль, который легко запомнить, но его легко и угадать. 
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Для подбора пароля применяется метод грубой силы — перечисление популяр- 
ных вариантов. Примеры наиболее распространенных паролей: 
® 123456; 
® Разз\уога; 
® ргіпсеѕѕ; 
® госКкуоп; 
® арс123. 


Перейдите в любимую поисковую систему и найдите примеры «общих» паро- 
лей. Если вы можете их найти, то и злоумышленники на это способны. Очевид- 
но, что надежные пароли имеют решающее значение для создания безопасной 
системы. 


Создание надежного пароля 


В целом пароль не должен быть легко угадываемым, распространенным или попу- 
лярным и связанным с вами каким-либо образом. Вот несколько правил, которым 
нужно следовать при выборе пароля. 

® Не используйте варианты названия своей учетной записи или полного имени. 
® Не применяйте словарные слова. 

® Не используйте никаких имен собственных. 

ө 


Не используйте свои номер телефона, адрес или имена членов семьи и клички 
домашних животных. 


® Не применяйте названия сайтов. 


Не используйте непрерывную строку букв или цифр на клавиатуре (например, 
а\егбу или аз). 


® Не используйте ничего из перечисленного с добавлением цифр и знаков пре- 
пинания в начале или в конце, а также в обратном порядке. 


Теперь, когда вы знаете, какие пароли не следует создавать, рассмотрим 
два основных элемента, определяющих надежный пароль. 
1. Длина пароля должна быть 15—25 символов. 
2. Пароль должен содержать: 

" строчные буквы; 

" прописные буквы; 

" цифры; 

= специальные символы, например $ % * ()-+=,<>::””. 

Пароль из 25 символов считается длинным. При этом чем длиннее пароль, тем 


он безопаснее. Выбор минимальной длины пароля зависит от потребностей в без- 
опасности. 
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СОВЕТ 


В исследовательском центре Гибсона есть множество материалов о надежных паролях, в том числе статья под 
названием Ному Бі 15 уоиг Пауза‹К... апа һом ме һіддеп [5 уоиг пеей1е? («Как спрятать иголку в стоге сена?») на 
странице дгс.сот/һауѕѓаск.ћёті. 


Выбрать хороший пароль может быть трудно. Он должен быть достаточно на- 
дежным, чтобы нельзя было его угадать, и достаточно легким, чтобы можно было 
его запомнить. Хороший способ выбрать надежный пароль — взять первую букву 
каждого слова легко запоминающегося предложения. Обязательно добавляйте 
цифры, специальные символы и используйте различные регистры. Выбранное 
вами предложение должно иметь смысл только для вас и не быть общеизвестным. 
В табл. 22.1 приведены примеры надежных паролей и их запоминания. 


Таблица 22.1. Идеи надежных паролей 


Пароль Как запомнить 


Мтсі7уо! Му гиѕу саг 15 7 уеагѕ 014! («Моей ржавой машине 7 лет!») 


2етВрііЬ |2 ејіерһапѕ таке ВАО реб, 1 іѕ Беќќет («2 слона ПЛОХИЕ домашние животные, 
1 лучше») 


ІМс?СіьЬ |15 Һа МУ соаё? Сіуе іс Баск («Это что, Мое пальто? Отдай обратно») 


Пароли ВЫГЛЯДЯТ бессмысленными, но на самом деле их довольно легко запом- 
НИТЬ. Конечно, не нужно использовать пароли, перечисленные в примере. Они стали 
общеизвестными и точно были добавлены в словари злоумышленников. 


Установка и смена пароля 


Вы устанавливаете собственный пароль с помощью команды раѕѕма. Введите ее, 
и она позволит вам изменить пароль. Во-первых, она предложит вам ввести свой 
старый пароль. Чтобы никто не увидел его, он не отображается при вводе. 

Если вы правильно ввели старый пароль, команда раѕѕма предложит ввести но- 
вый. После ввода новый пароль проверяется с помощью утилиты сгасК115, чтобы 
определить, надежен он или нет. Пользователи, не являющиеся суперпользовате- 
лями, должны ввести другой пароль, если введенный ненадежен. 

Суперпользователь — единственный, кому разрешено назначать ненадежные 
пароли. После того как пароль был принят командой сгаск116, команда раѕѕма 
просит ввести новый пароль еще раз, чтобы убедиться, что опечаток нет (которые 
трудно обнаружить, когда вы не видите, что печатаете). 

При запуске от имени суперпользователя изменить пароль можно, указав его 
логин в качестве параметра команды раѕѕма, как в примере: 

# раѕѕма јое 
Сһапеіп= раѕѕмога Ғог изег јое. 
Мем ОМІХ раѕѕмога: ******** 


Вефуре пем МІХ раѕѕмога: ******** 
раѕ5ма: а11 аиёһепііса+іоп фокепз ирӣа+еа ѕиссеѕѕҒи11у. 
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Команда раѕѕма дважды предложит вам ввести новый пароль для пользователя 
Зое. В этом случае она не запрашивает его старый пароль. 


Лучшие методы работы с паролями 


Теперь вы знаете, как выглядит надежный пароль и как его изменить, но как при- 
менить его в своей системе Глпих? Можно начать с библиотеки подключаемых 
модулей РАМ. С ее помощью вы точно определите требования, которым должны 
соответствовать пароли. Например, чтобы убедиться, что пароли должны быть 
длиной 12 символов, минимум с двумя цифрами, тремя прописными и двумя строч- 
ными буквами и отличаться от предыдущих паролей, можете добавить в файл /еёс/ 
рат. / соттоп -раѕѕмога или /ефс/рат. 4/соттоп-аи{Н такую строку: 


раѕѕмога гедиіѕіёе рат_сгаск116.$0 тіп1еп=12, асгед1{=2, исгейії=3, Ісгеаіё=2, 
аіғок=4 


Следующий вопрос: как заставить пользователей регулярно менять пароли? 
Может оказаться утомительно придумывать новые надежные пароли каждые 
30 дней! Вот почему необходимы некоторые методы принуждения к этому. 


СОВЕТ 


Если пользователи испытывают трудности с созданием надежных и уникальных паролей, установите в своей 
системе Ипих утилиту рмдеп. Эта утилита для генерации паролей с открытым исходным кодом создает произ- 
носимые и запоминающиеся пароли. Можно сделать эти сгенерированные слова отправной точкой для создания 
паролей учетных записей. 


Значения по умолчанию в файле /еіс/1оріп.іе#ѕ для новых учетных записей 
рассматривались в главе 11. В файле 1овіп.іе#ѕ есть настройки, влияющие на срок 
действия и длину пароля: 


РАЗ$_МАХ_РАУЗ зе 
РАЅ5 МІМ РАУЗ 5РАЅ5 МІМ ЕМ 16РА$$_МАВМ_АбЕ 7 


В примере максимальное количество дней РА55_МАХ_рАҮЅ до изменения пароля 
равно 30. Число, которое вы устанавливаете, зависит от конкретной настройки 
учетной записи. Для организаций, где одну учетную запись применяет один поль- 
зователь, значение можно увеличить. Если у вас есть общие учетные записи или 
несколько человек знают пароль суперпользователя, очень важно регулярно менять 
пароль. Так вы сможете эффективно обновить список тех, кто его знает. 

Чтобы пользователи не меняли свой пароль на новый, а затем сразу же меняли 
его обратно, вам нужно установить РА$$_МТМ_ОРАУ$ на число больше 0. В предыду- 
щем примере самое раннее, когда можно снова изменить пароль, — через 5 дней. 

Параметр РА$$_МАВМ_АбЕ — это количество дней, в течение которых пользователь 
получает предупреждение перед принудительной сменой пароля. Люди, как пра- 
вило, нуждаются в большом количестве предупреждений и напоминаний, поэтому 
в предыдущем примере устанавливается время предупреждения 7 дней. 
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Ранее в этой главе я упоминал, что надежный пароль имеет длину от 15 до 25 сим- 
волов. С помощью параметра РА$$_МТМ_1ЕМ вы можете заставить пользователей 
применять определенное минимальное количество символов в своих паролях. 
Выбранный параметр должен основываться на жизненных циклах безопасности 
организации. 


ПРИМЕЧАНИЕ 


Дистрибутив ЏБипќи не имеет параметра РА55_МІМХ ТЕМ в своем файле [0д.9еБ. Настройка осуществляется про- 
граммой РАМ, которая рассматривается в главе 23 «Продвинутые методы обеспечения безопасности». 


Сроком действия пароля для уже созданных учетных записей необходимо 
управлять с помощью команды сһаве. Необходимые для этого параметры пере- 
числены в табл. 22.2. Обратите внимание на то, что у команды сһаре нет параметра 
длины пароля. 


Таблица 22.2. Параметры команды сһаде 


Параметр |Описание 


-М Устанавливает максимальное количество дней до смены пароля. Эквивалентен 
параметру РАЗ$_МАХ_ПАУ?З в файле /ес/1орт.Че 


-т Устанавливает минимальное количество дней до повторного изменения пароля. 
Эквивалентен параметру РАЗЗ_МТМ_ПАУЗ в файле /ес/Ловт.4еВ 


-\М\ Задает количество дней, в течение которых пользователь получает 
предупреждение перед принудительной сменой пароля учетной записи. 
Эквивалентен параметру РАЗ$_\МАВМ_АСЕ в файле /ебс/1овт.4е 


В следующем примере используется команда сһарве для установки параметров 
срока действия пароля учетной записи ќіп. Все три варианта параметров задей- 
ствуются одновременно: 


# сһаве -1 +іп | вгер дау$ 


Міпітит питмбег о+ 4ауз Бефмееп раззмог сһапве : 0 
Махітит питрег о+ 4ауз Бефмееп раззмог сһапве : 99999 
Митбег о+ Чауз оф магпіпв Бефоге раѕѕмога ехрігеѕ 7 


# спаде -М 30 -м 5 -М 7 іт 
# сһаве -1 +іп | вгер дау$ 


Міпітит питрег оф Яаауѕ Бефмееп раѕѕмога сһапее #5 
Махітит питрег оф Яауѕ Бефмееп раѕѕмога сһапре : 30 
Митре” о+ дауѕ оф магпіпв Бефоге раѕѕмога ехрігеѕ 7 


Команду сһаве можно применить и в качестве еще одного метода установки 
срока действия учетной записи, который основан на истечении срока действия 
пароля. Ранее для задания истечения срока действия учетной записи исполь- 
зовалась утилита изегтоа. Командой сһаве с параметрами -М и -І заблокируйте 
учетную запись. В следующем примере учетная запись &1т просматривается 
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с помощью сһаве -1 и отображается только информация о настройках пароля 
пользователя ёіт: 


# сһаре -1 +іт | вгер Раѕѕмога 
Раѕѕмога ехрігеѕ : пемег 
Раѕѕмога іпастіуе : пеуег 


Здесь видно, что в настройках учетной записи не установлены срок действия 
пароля (Раѕѕмога ехрігеѕ) и время его бездействия (Раѕѕмога 1пасЕ1ме). В следу- 
ющем примере учетная запись будет заблокирована через 5 дней после истечения 
срока действия пароля пользователя біт с помощью только параметра -І: 

# сһаре -І 5 +ітм 
# сһаве -1 +іт | вгер Раѕѕмога 


Раѕѕмога ехрігеѕ : пемег 
Раѕѕмога іпас+іме : пемег 


Обратите внимание на то, что настройки не изменились! Без установленного 
срока действия пароля параметр -Т ничего не меняет. Таким образом, с помощью 
параметра -М устанавливается максимальное количество дней до истечения срока 
действия пароля и установка времени бездействия пароля сохраняется: 

# сһаве -М 30 -І 5 іт 
# сһаре -1 +іт | вгер Раѕѕмога 


Раѕѕмога ехрігеѕ : Маг 03, 2017 
Раѕѕмога 1пасЕ1уе : Маг 08, 2017 


Теперь учетная запись пользователя +1т будет заблокирована через 5 дней после 
истечения срока действия его пароля. Это полезно в ситуациях, когда сотрудник 
покинул компанию, но его учетная запись еще не удалена. В зависимости от тре- 
бований безопасности вашей организации рассмотрите возможность установки 
блокировки всех учетных записей на определенное количество дней после истече- 
ния срока действия паролей. 


Файлы и хеши паролей 


Ранние системы Глпих хранили свои пароли в файле /еёс/раѕѕмӣ, они были хеши- 
рованы. Хешированный пароль создается с помощью одностороннего математиче- 
ского процесса. После создания хеша вы не сможете воссоздать исходные символы 
из хеша. Вот как это работает. 

Когда пользователь вводит пароль учетной записи, система Піпих переписыва- 
ет пароль, а затем сравнивает результат хеширования с исходным хешем в файле 
/е&с/разма. Если они совпадают, пользователь проходит аутентификацию и полу- 
чает доступ в систему. 

Проблема с хранением хешей паролей в файле /ес/раѕѕма связана с настройка- 
ми безопасности файловой системы (см. главу 4 «Файловая система»). Параметры 
безопасности файловой системы для файла /еёс/раѕѕма перечислены далее: 


# 15 -1 /еїс/раѕѕма 
-ги-г--г--. 1 гоо гоо 1644 Ғер 2 02:30 /еїс/раѕѕма 
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Как видно в примере, каждый может прочитать файл пароля. Кажется, что 
это не проблема, потому что все пароли хешированы. Однако злоумышленники 
создали файлы, называемые радужными таблицами (таіпђоҳ (аЫез). Радужная 
таблица — это словарь возможных хешированных паролей. Например, радужная 
таблица содержит хеш популярного пароля Разз\уотА, который выглядит следу- 
ющим образом: 


ф6ФаҺМ52МОј$СМеһјҮІЕеаиѕх18ух. Е6РТОрепаЭмТОсх 1100007 ИПу\8ИК206НххбЕР 8РЗ\$Н78 
ОгКку.М5К5ахскКЗОһуМс. 


Из-за простоты доступа к хешам паролей в файле /еёс/раѕѕма то, когда хеширо- 
ванный пароль будет сопоставлен с радужной таблицей, — лишь вопрос времени. 


ПРИМЕЧАНИЕ 


Эксперты по безопасности скажут вам, что пароли не просто хешируются, но и «солятся». Шифрование хеша солью 
означает, что случайно сгенерированное значение добавляется к исходному паролю перед его хешированием. 
Это еще больше затрудняет сопоставление хешированного пароля с исходным. Однако в Ипих хеш-соль хранится 
вместе схешированными паролями. Таким образом, доступ на чтение к файлу /еїс/раѕѕуа означает, что у васесть 
хеш-значение и его соль. 


Хешированные пароли были перенесены в новый файл конфигурации /еїс/ 
ѕһадом много лет назад. Этот файл имеет следующие параметры безопасности: 


$ 15 -1 /ефс/$Падом 
ааа . 1 гооф гооф 1049 Реб 2 99:45 /еїс/ѕһайом 

Несмотря на отсутствие прав, просматривать этот файл может только супер- 
пользователь. Таким образом, хешированные пароли защищены. В примере хво- 
стовой части файла /еёс/ѕһайом видно, что в записи каждого пользователя есть 
длинные бессмысленные строки символов. Это и есть хешированные пароли: 


# +аі1 -2 /еёс/ѕһайом 
јоһпаое: %6%37јакмә /дЕТмЬ8хиМ1 Е РОҮСҺЕІХС/ :15364:0:99999:7::: 
Т1п:$6$2760А342$ОХапЕупарЬМРУМ5о\/ЕМН$4В/ : 15372:5:30:7:16436:: 


ВНИМАНИЕ! 


Вы можете начать пользоваться системой пих, в которой все еще действует старый метод хранения хеширован- 
ных паролей в файле /еќс/раѕѕуӣ. Это легко исправить. Просто примените команду рлсопу, и файл /ес/5падо\м 
будет создан, а хешированные пароли перемещены в него. 


Кроме имени учетной записи и хешированного пароля в файле /еёс/ ѕһћайом 
хранятся следующие данные: 
® количество дней (с 1 января 1970 года) с момента изменения пароля; 
® количество дней до изменения пароля; 
® количество дней до обязательного изменения пароля; 
е 


количество дней перед предупреждением пользователя об обязательном из- 
менении пароля; 


638 Часть М • Методы обеспечения безопасности в Ипих 


® количество дней после истечения срока действия пароля, в течение которых 
учетная запись будет отключена; 


® количество дней (с 1 января 1970 года), в течение которых учетная запись была 
отключена. 


Звучит знакомо, не правда ли? Это и есть настройки срока действия пароля, рас- 
смотренные ранее в этой главе. Помните, что команда сПаре не сработает, если у вас 
нет настроенного файла /еёс/ѕһайон или файл ес/1овіп.де#ѕ не поддерживается. 

Очевидно, что параметры безопасности файловой системы очень важны для 
обеспечения безопасности всей системы Глпих. Это особенно верно для файлов 
конфигурации всех систем [іпих. 


Защита файловой системы 


Еще одна важная часть защиты вашей системы пих — обеспечение безопасности 
файловой системы. Основы настройки безопасности были рассмотрены в главе 4, 
а списки контроля доступа (АСТ.) — в главе 11. Однако есть несколько дополни- 
тельных моментов, которые необходимо изучить. 


Управление опасными правами файловой системы 


Представьте, какой хаос возникнет, если предоставить полный доступ гихгихгих 
(777) к каждому файлу в системе Глпих. Во многом это может произойти из-за от- 
сутствия четкого управления правами ѕеё ОТО (5010) и зеё СТО (5СТО) (см. гла- 
ву 4 «Файловая система» и главу 11 «Управление учетными записями»). 

Файлы с правами 5010 в категории Омпег и правами на выполнение ехеси*е 
в категории О+һег позволяют любому пользователю временно стать владельцем 
файла, пока он выполняется. Хуже всего, если файлом владеет суперпользователь. 

Аналогично файлы с правами СТО в категории бгоир и правами ехесиќе в ка- 
тегории О+һег позволяют любому пользователю временно стать членом группы 
файла, пока он выполняется. ЗСТ также может быть настроен для каталогов, 
что устанавливает идентификатор группы любых файлов, созданных в каталоге, 
в идентификатор группы каталога. 

Исполняемые файлы с ЗОТО или $СТО чаще всего становятся мишенью зло- 
умышленников. Таким образом, лучше всего задействовать их по минимуму. Однако 
некоторые файлы должны сохранять эти настройки. Например, команды раѕѕмаӣ 
и ѕидо, которые следуют за ними. Каждый из этих файлов должен поддерживать 
свои права 5 01р: 


$ 15 -1 /иѕг/Ьіп/раѕѕма 

-гизг-хг-х. 1 гоо гоо 28804 Аир 17 20:50 /иѕг/біп/раѕѕма 
$ 15 -1 /иѕг/Ьіп/ѕидо 

---5--Х--Х. 2 гооЁ гоо 77364 №\у 3 08:10 /иѕг/Біп/ѕиао 
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Такие команды, как раѕѕма и зидо, предназначены для применения в качестве 
$ЧШ-программ. Несмотря на то что они выполняются от имени суперпользова- 
теля, как обычный пользователь вы можете изменить собственный пароль только 
с помощью команды раѕѕма и перейти к правам суперпользователя только с по- 
мощью команды ѕидо, если вам были даны соответствующие права в файле /еёс/ 
зидоег$. Наиболее опасно, если хакер применяет команду 5010 баѕћ: любой, кто 
запускает ее, может изменить все в системе, имеющей корневой доступ. 

С помощью команды #іпа вы можете выполнить поиск в своей системе, чтобы 
увидеть скрытые или иным образом выделяющиеся команды $010 и $610, на- 
пример: 

# Ғіпа / -регт /6000 -1$ 

4597316 52 -гихг-зг-х 1 гоо ратеѕ 51952 рес 21 2013 /изг/61п/аЕс 

4589119 20 -гихг-зг-х 1 гоо +фу 19552 Моу 18 2013 /иѕг/біп/мгіёе 

4587931 60 -гмг-хг-х 1 гоо гооф 57888 Аџр 2 2013 /иѕг/біп/а+ 
1 
1 


4588045 60 -гмг-хг-х 1 гоо гооф 57536 Ѕер 25 2013 /иѕг/біп/сгопёаБ 
4588961 32 -гизг-хг-х гоо гоо + 32024 М№оу 18 2013 /иѕг/біп/ѕи 


5767487 85 -гмзгизг-х 1 гоо гооф 68928 Ѕер 13 11:52 /маг/.Біп/тумі 


Обратите внимание на то, что команда #іпа раскрывает команды $010 и $СТО, 
которые обычные пользователи могут запускать для добавления дополнительных 
прав по определенным причинам. В этом примере также есть файл, который поль- 
зователь пытался скрыть (тууі). Это копия команды уі, которая из-за разрешений 
и права собственности может изменять файлы, принадлежащие суперпользовате- 
лю. И это, очевидно, то, что пользователь не должен делать. 


Защита файлов с паролями 


Файл /ес/раѕѕма — это файл, который система Глпих применяет для проверки 
информации об учетной записи пользователя и который мы рассмотрели ранее 
в этой главе. Файл /еїс/раѕѕма должен иметь следующие настройки прав: 
Ф Охпег: гоо+; 
® Сгопр: гоо; 
® Регтіѕѕіопѕ: (644) Охупег: ги- Стоир: г-- Оћег: г--. 

В следующем примере показано, что у файла /ес/раѕѕмаі имеются соответству- 


ющие настройки: 


# 15 -1 /еїс/раѕѕма 
-ги-г--Г--. 1 гоо гоо 1644 Ғер 2 02:30 /еїс/раѕѕма 


Эти настройки необходимы для того, чтобы пользователи могли войти в систему 
и увидеть имена, связанные с ГО пользователей и групп. Однако они не должны 
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иметь возможности напрямую изменять файл /еёс/раѕѕма. Например, злоумыш- 
ленник может добавить новую учетную запись в файл, если доступ для записи был 
предоставлен пользователю О&ћег. 

Следующий файл — это /еёс/ѕһайом. Конечно, он тесно связан с файлом /еїс/ 
раѕѕма, поскольку также задействуется в процессе аутентификации входа в систему. 
Файл /еіс/ѕһайом должен иметь следующие настройки прав: 


Ф О’\упег: гоо+; 
® Стоипр: гоо; 
® Регтіѕѕіопѕ: (000) Охпег: --- Стоир: --- Оёћег: - - -. 


Приведенный далее код показывает, что файл /еіс/ѕһайомн имеет соответству- 
ющие настройки: 


$ 15 -1 /еіс/ѕһадом 
---------- . 1 гоо гоо 1049 Ғер 2 09:45 /еїс/ѕһайом 


Файл /еїс/раѕѕма имеет права на чтение для владельца, группы и других поль- 
зователей. Обратите внимание на то, как сильно ограничен в правах файл /еёс/ 
ѕһайом по сравнению с файлом /еёс/раѕѕма. Для файла /ес/ѕһайом нет прав на 
доступ, хотя суперпользователь все еще может получить доступ к нему. Итак, 
если только суперпользователь может просматривать этот файл, как пользовате- 
ли могут менять свои пароли, которые хранятся в файле /еёс/ѕһайом? Команда 
раѕѕма в файле /иѕг/біп/раѕѕма задействует специальный 5 О10-параметр прав. 
Он показан далее: 


# 15 -1 /иѕг/біп/раѕѕма 
-гизг-хг-х. 1 гоо гоо 28804 Аир 17 20:50 /иѕг/біп/раѕѕма 


Таким образом, пользователь, выполняющий команду раѕѕма, на время ее вы- 
полнения становится суперпользователем, а затем может записать ее в файл /еёс/ 
ѕһадои, но только для того, чтобы изменить собственную информацию о пароле. 


ПРИМЕЧАНИЕ 


Суперпользователь не имеет доступа к изменению разрешения каталога /еїс/ѕһайому. Так как же он записывает 
в файл /еїс/ѕһайом? Суперпользователь имеет полный доступ ко всем файлам независимо от того, перечислены 
права для него или нет, 


Файл /еёс/вгоир (см. главу 11 «Управление учетными записями») содержит все 
группы в системе Глпах. Его права доступа к файлам должны быть установлены 
точно так же, как и в файле /еёс/раѕѕма: 

Ф О’\упег: гоо+; 
® Сгочпр: гоо; 
® Регтіѕѕіопѕ: (644) Охпег: ги- Стоир: г-- Оёћег: г--. 
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Кроме того, файл пароля группы, /еёс/ вѕһайои, должен быть хорошо защищен. 
Как и следовало ожидать, права файла должны быть установлены точно такими 
же, как и для файла /ес/ ѕһайом: 


Ф Охпег: гоо+; 
® Сгопр: гоо; 
® Регтіѕѕіопѕ: (000) Охупег: --- Сточр: --- Обе: ---. 


Блокировка файловой системы 


Таблица файловых систем (см. главу 12 «Управление дисками и файлами») в фай- 
ле /еёс/Еѕ+аб также требует особого внимания. Файл /е{с/+$+а6 используется во 
время загрузки для монтирования устройств хранения данных в файловых систе- 
мах. Он также применяется командами тоипё, дитр и #ѕск. Файл /еёс/Ғѕ+аь должен 
иметь следующие настройки прав: 


Ф Охпег: гоо+; 
® Сгопр: гоо; 
® Регтіѕѕіопѕ: (644) Охупег: ги- Стопр: г-- Оћег: г--. 


В таблице файловой системы есть важные параметры безопасности, которые 
необходимо изучить. Помимо тех, что касаются корневых, загрузочных разделов 
и разделов подкачки, остальные параметры файловой системы по умолчанию до- 
статочно безопасны. Однако вы можете рассмотреть следующее. 


® Как правило, вы помещаете подкаталог /һоте, где находятся пользовательские 
каталоги, в свой собственный раздел. Добавляя параметры к команде тоип* для 
монтирования этого каталога в /еёс/#ѕ+ар, можете применять параметр поѕџіа, 
чтобы запретить запуск исполняемых программ с разрешениями ЗОТО и 8561р 
оттуда. Программы, которые нуждаются в правах 5001р и 5610, не должны хра- 
ниться в каталоге /поте и, скорее всего, являются вредоносными. Можно уста- 
новить параметр подеу так, чтобы ни один файл устройства, расположенный там, 
не был распознан. Файлы устройств должны храниться в файле /дем, а не в /һоте. 


Установите параметр поехес так, чтобы никакие исполняемые программы, хра- 
нящиеся в /һоте, нельзя было запустить. 

е Вы можете поместить подкаталог /+тр, где находятся временные файлы, в свой 
собственный раздел и использовать те же параметры настройки, что и для /һопе: 


= М№оѕиіа; 
= Модем; 
= Моехес. 


ө Можете поместить подкаталог /иѕг, где находятся пользовательские программы 
и данные, в собственный раздел и установить параметр пойеу так, чтобы ни один 
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файл устройства, расположенный там, не был распознан. После установки 
программного обеспечения каталог /иѕг практически не изменяется (иногда по 
соображениям безопасности он даже монтируется только для чтения). 


ө Если система настроена как сервер, вы, вероятно, захотите поместить каталог 
/уаг в собственный раздел. Каталог /маг должен увеличиваться по мере добав- 
ления сообщений журнала и содержимого для веб-, ЕТР- и других серверов. 
Для раздела /маг вы можете использовать те же параметры монтирования, что 
и для раздела /Поте: 


= №05и1а; 
= Модем; 
= М№оехес; 


Если добавить эти параметры для команды моип* в файл /еєс/#ѕ+аб, он будет 
выглядеть следующим образом: 


/аеу/ 5461 /поте ехі4 аеҒаи1+5 , поде\м , поехес, поѕиіа 1 2 
/аеу/ѕӣс1 / тр ехі4 деҒаи1+5 , подем , поехес, поѕиіа 11 
/аем/ 5402 /иѕг ехі4 аеҒаи1+5 , пойеу 1 2 
/аеум/ ѕарз /маг ехі4 деҒаи1+5 , подем , поехес, поѕиіа 1 2 


Эти параметры монтирования помогут еще лучше заблокировать вашу файло- 
вую систему и добавить еще один уровень защиты от злоумышленников. И вновь 
отмечу, что управление различными правами файлов и параметрами команды 
Еѕ+ар должно быть частью вашей политики безопасности. Элементы безопасности 
должны определяться потребностями организации. 


Управление программным обеспечением и службами 


Администратор сосредоточивается на том, чтобы убедиться, что необходимые 
программное обеспечение и службы в системе Глпих имеются. С точки зрения без- 
опасности нужно убедиться, что, наоборот, ненужных программного обеспечения 
и служб в пих нет. 


Обновление пакетов программного обеспечения 


Как и удаление ненужных служб и программного обеспечения, обновление про- 
граммного обеспечения имеет решающее значение для безопасности. Различные 
ошибки, в том числе ошибки безопасности, исправляются именно с помощью 
обновлений программного обеспечения. Обновления пакетов программного обе- 
спечения рассматривались в главе 9 «Установка Піпих» и в главе 10 «Управление 
программами». 

Обновлять программное обеспечение следует регулярно. Как часто и когда вы 
это делаете, зависит от потребностей вашей организации в безопасности. 
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Можно легко автоматизировать обновление программного обеспечения, но 
как и удаление служб и программного обеспечения, было бы разумно сначала 
протестировать обновления в отдельной системе. Если обновленное программное 
обеспечение исправно, можете обновить его и в своих системах Глпих. 


Советы о безопасности 


Поскольку недостатки безопасности есть и в программном обеспечении Глпих, про- 
ект Соттоп УшпегаБіїйеѕ апа Ехроѕигеѕ (СУЕ) отслеживает и помогает быстро 
исправить их, над чем работает все сообщество Гіпих. 

Такие компании, как Вей Нав, предоставляют обновленные пакеты для устране- 
ния недостатков безопасности — они называются эрратами (еттаїа). Эрраты могут 
состоять из одного или нескольких обновленных пакетов. Если вы используете дис- 
трибутив Кеа Нас Ещегри5е Гіпих, необходимо найти пакеты КРМ (КРМ Раскаве 
Мапарвег), связанные с конкретными базами СУЕ и эрратами. 

По мере появления новых форм упаковки программного обеспечения необ- 
ходимо убедиться, что программное обеспечение в этих пакетах проверяется на 
наличие уязвимостей. Например, каталог контейнеров Кеа Наб (ассеѕѕ.гедһаі.сот/ 
сопатег$) перечисляет поддерживаемые Кеа Наб контейнерные образы вместе 
с соответствующими эрратами и индексами работоспособности для каждого 
образа. 

Дополнительные сведения о том, как обрабатываются обновления безопас- 
ности в Кеа Нас Ерќегргіѕе Ііпих, см. на странице Зесигку Орааїѓеѕ портала Кеа 
На (ассеѕѕ.гейһаё.сот/ѕесигіќу/ирааїеѕ/). Сайт содержит огромное количество инфор- 
мации, связанной с уязвимостями безопасности и тем, как они обрабатываются. 
Возможность получать своевременные обновления систем безопасности — одна 
из основных причин, по которым компании покупают подписку на дистрибутив 
Вей Наё Ещегризе Глпих. 


Расширенная настройка безопасности 


Планируя расширение настроек безопасности, необходимо узнать о других важных 
темах, относящихся к безопасности, — криптографии, подключаемых модулях 
аутентификации (РАМ) и $Е11пих. Эти темы будут рассмотрены в главах 23 и 24. 


Мониторинг системы 


Если спланировать и обеспечить безопасность своей системы, большинство вре- 
доносных атак будут остановлены. Но если атака все-таки произошла, необходимо 
уметь распознать ее. Мониторинг системы — это то, что должно происходить не- 
прерывно. 
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Мониторинг системы включает в себя наблюдение за файлами журналов, учет- 
ными записями пользователей и самой файловой системой. Кроме того, нужны 
инструменты, которые помогут обнаружить атаки и другие типы вредоносных 
программ. 


Мониторинг файлов журналов 


Понимание того, как ведется журнал сообщений, имеет решающее значение для 
поддержания системы Глпих и устранения в ней неполадок. До того как функция 
зуз+ета начала использоваться для сбора сообщений в так называемый журнал 
ѕуѕета, сообщения, генерируемые ядром и системными службами, направлялись 
в файл в каталоге /уаг/1ов. Хотя это в значительной степени происходит и для 
зуз+ета, теперь вы можете просматривать сообщения журнала непосредственно 
из журнала зузфета с помощью команды 3) оигпа1с+1. 

Файлы журналов системы [іпих в основном находятся в каталоге /маг/1ов. 
Большинство файлов в каталоге /уаг/105 направляются туда из журнала ѕуѕ+ета 
через службу гѕуѕ1ова (см. главу 13 «Администрирование серверов»). Список 
файлов /маг/10ов и краткое описание каждого из них содержатся в табл. 22.3. 


Таблица 22.3. Файлы журналов в каталоге /уаг/1од 


Имя журнала |Имя файла Описание 

АрасВе Ассез$ | /уаг/1Лов/Бира/ассез$_1о5 | Регистрирует запросы на получение 

Гов информации с вашего веб-сервера Арасһе 
АрасВе Еггог /мат Лов /Ћера/етгог Іов | Регистрирует ошибки, возникшие у клиентов, 
Тов пытающихся получить доступ к данным на 


вашем веб-сервере Арасће 


Ваа Говіпѕ Гов | Бор Регистрирует неудачные попытки входа 
в систему 
Воо Гов Бооѓ Іов Содержит сообщения, указывающие, какие 


системные службы были успешно запущены 

и завершены, а какие (если таковые имеются) 
не запустились или были остановлены. Самые 
последние загрузочные сообщения перечислены 
в конце файла 


Кегпе! 1.05 атеѕе Записывает сообщения ядра при загрузке 
системы 

Стоп Іов стоп Содержит сообщения о состоянии демона сгопі 

арке 105 арке. Іов Содержит информацию об установленных 


пакетах еап 


ЕТР Гов уѕќраІов Содержит сообщения, относящиеся 
к передачам, выполняемым с помощью демона 
уѕієра (ЕТР-сервер) 
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Имя журнала |Имя файла Описание 

ЕТР Тгапѕѓег хЕго8 Содержит информацию о файлах, передаваемых 
Тов с помощью службы ЕТР 

СМОМЕ Р:ѕрІау | /уаг Лов/еіт/:0.105 Содержит сообщения, связанные 

Мапавег Гов с экраном входа в систему (СМОМЕ аіѕрІау 


тапавег). Да, в имени файла действительно 
есть двоеточие 


Гаѕі ов 1а5105 Записывает последний вход учетной записи 
в систему 

Говіп /ош Гов мтр Содержит историю входов в систему и выходов 
из нее 

Май Іов таШов Содержит информацию об адресах, на которые 


и с которых было отправлено электронное 
письмо. Полезно для обнаружения спама 


МУбОГ. Ѕегуег | туѕд4108 Включает в себя информацию, связанную 

Гов с деятельностью сервера баз данных МуЅОТ. 
(туза) 

Ме\мз Гов зрос[ег Предоставляет каталог, содержащий журналы 
сообщений с сервера новостей Озепев, если он 
запущен 

Ѕатђа Іов /уаг/Ло5/затфа/зтЬ4.105/ | Показывает сообщения от демона файловой 


уаг/105/зата/птЬЧ.105 | службы ЅатБа МВ 


Ѕесигіќу [05 ѕесиге Записывает дату, время и продолжительность 
попыток входа в систему и сеансов 


Зеп4тай Гов ѕепатаі Показывает сообщения об ошибках, записанные 
демоном зеп4атай 


Ѕаша Гов /чат Лов /ѕдшіа/ассеѕѕ Іов | Содержит сообщения, связанные с прокси/кэш- 
сервером за 


Зузбеш [05 теѕѕавеѕ Предоставляет файл журнала общего 
назначения, в который многие программы 
записывают сообщения 


ООСР 105 оиср Показывает сообщения о состоянии от демона 
ОМІХ Сору Ргобосо| 

ҮОМ 105 упт.105 Показывает сообщения, связанные 
с программными пакетами КРМ 

Х.Оге Х11 Тов |Хоге.0.105 Показывает сообщения, выводимые сервером 
Х.Оте Х 


Файлы журналов, находящиеся в каталоге /уаг/1о5 системы, зависят от того, 
какие службы вы задействуете. Кроме того, некоторые файлы журналов зависят 
от дистрибутива. Например, если используется дистрибутив Еейога, то не будет 
файла журнала арке. 
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Большинство файлов журнала отображаются с помощью команд саќ, Пеаад, ёаі1, 
тоге или 1еѕ5. Однако некоторые из них нуждаются в специальных командах для 
просмотра (табл. 22.4). 


Таблица 22.4. Файлы журнала, требующие специальных команд 


Имя файла Команда просмотра 
Бр аиштр-итр Бетр 
Чтез8 Чтезё 

1а5 о5 ІаѕПое 

мтр аитр-иётр \ тр 


С переходом Еейога, ВНЕТ, ОБипёи и других дистрибутивов Глпих на 5у$*ета, 
который управляет процессом загрузки и службами, как отмечалось ранее, из- 
менился механизм сбора и отображения сообщений журнала, связанных с ядром 
и системными службами. Эти сообщения направляются в журнал ѕуѕќета и могут 
быть отображены с помощью команды јоигпа1с1. 

Вы можете просматривать сообщения журнала непосредственно из журнала 
ѕуѕёета, а не просто перечислять содержимое файлов /\маг/1ов. На самом деле 
в последней версии Еедога просто нет файла /маг/1ов/теѕѕареѕ, в который многие 
службы по умолчанию направляют сообщения журнала. Вместо этого вы можете 
использовать команду јоигпа1с+1 для отображения сообщений журнала раз- 
личными способами. Чтобы просмотреть сообщения ядра, введите следующую 
команду: 


# јоигпа1с+1 -К 
1055 беріп а Ѕип 2019-06-09 18:59:23 Ерт, епа а+ 
Ѕип 2019-10-20 18:11:06 ЕРТ. 
Осе 19 11:43:04 1оса1һоѕі.1оса1аотаіп Кегпе1: 
Ііпих мегѕіоп 5.0.9-301.#с30.х86 64 
(тоскбиі1а@бкегпе104.рћх2.Ғейогаргојесі.оге) 
(всс мегѕіоп 9.0.1 20190312 (Кеа Наї 9.0.1-0.10) (6СС)) 
#1 ЅМР Тие Арг 23 23:57:35 ОТС 2019 
Ос 19 11:43:04 10са1һоѕі.1оса1аотаіп Кегпе1: Соттапа 11пе: 
ВООТ_ ІМАСЕ= (Һа0, тѕ0051) /ут1іпи2-5.0.9-301.с30.х86 64 
гооЁ= /аеу/таррег/Ғейога_ 1оса1һћоѕі- -1іме-гоої го 
геѕите=/ аем/таррег/Ғейога_ 1оса1һћоѕі--1іуе-ѕмар 
га. 1\ут. 1у=Ғедйога 1оса1һоѕ+-1іме/ гоо 
га. ут. 1у=ҒеаӢога 1оса1һоѕ-1іме/ѕмар гһеБ диіе+ 


Чтобы просмотреть сообщения, связанные с определенной службой, используй- 
те параметр -и, после которого указано имя службы, как в этом примере: 
# јоигпа1с+1 -и МефмогКМапарег . ѕегмісе 


# јоигпа1с+1 -и ВЕЕра. зегу1се 
# јоигпа1с+1 -и амаһі-даетоп. зегу1се 
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Если вы считаете, что безопасность под угрозой, можете просмотреть все или 
определенные сообщения по мере их поступления в режиме реального времени. 
Например, чтобы следить за сообщениями ядра или службы һе+ра по мере их посту- 
пления, добавьте параметр -+ (когда закончите, нажмите сочетание клавиш С-+С): 


# јоигпа1с+1 -К -Е 
# јоигпа1с+1 -Е -и МефмогКМапарег .зег\у1се 


Чтобы проверить только загрузочные сообщения, можете перечислить Г) за- 
грузки для всех системных загрузок, а затем загрузить интересующий вас экзем- 
пляр загрузки. В следующих примерах показаны Г) загрузки и сообщения для 
выбранного ІР загрузки: 


# јоигпа1с+1 --11$4-600%$ 
-3 65968е8204+345а781с669359483374с 

Ѕип 2019-08-25 12:42:08 Ерт-Моп 2019-08-26 14:30:53 Ерт 
-2 #2с5а74+бе9Ь4сб1ае1сдбас1с24е896 

Моп 2019-09-02 15:49:03 ЕРТ-Тһи 2019-09-12 13:08:26 Ерт 
-1 5426бее1с#67481а9е4йазаа7#8а8дае 

Ѕип 2019-10-13 12:30:27 Ерт-Тһи 2019-10-17 13:37:22 Ерт 
0 с848е7442932488091аЗа467е8а92+#сғ# 

баф 2019-10-19 11:43:04 Ерт-Ѕип 2019-10-20 18:11:06 Ерт 
# јоигпа1с+1 -Ь с848е7442932488091а3а467е8192+#сғ# 
-- 108$ Беріп аі Ѕип 2019-06-09 18:59:23 Ерт, 

епа а Ѕип 2019-10-20 18:21:18 Ерт. -- 
Ост 19 11:43:04 1оса1һоѕі.1оса1ӣотаіп Кегпе1: І іпих мегѕіоп 
5.0.9-301.#с30.х86 64 (тоскбиі1а@бКкегпе104.рһх2. Ғейогаргојесі.оге) 


Ос 19 11:43:04 1Іоса1һоѕі.1оса1аотаіп Кегпе1: Соттапа 1іпе: 
ВООТ_ТМАСЕ= (На@ , тѕ051) /ут1іпи2-5.0.9-301.Ес30.х86 64 
гооё= /аеу/таррег/Ғейога_ 1оса1> 


Осе 19 11:43:04 1оса1һоѕі.1оса1ӣотаіп Кегпе1: 
ОМТ: Кеа На КҮМ, ВІОЅ 1.9.1-5.е17 3.3 04/01/2014 
Осе 19 11:43:04 1оса1һоѕі.1оса1ӣотаіп Кегпе1: Нурегуіѕог е+есёеа: КҮМ 


Мониторинг учетных записей пользователей 


Учетные записи пользователей часто задействуются в атаках на систему путем 
получения несанкционированного доступа к текущей учетной записи, создания 
фиктивных учетных записей или лазеек в учетной записи для последующего досту- 
па. Чтобы избежать таких проблем, необходимо наблюдать за учетными записями 
пользователей. 


Поиск поддельных учетных записей и прав 


Учетные записи, созданные без прохождения соответствующей авторизации, счи- 
таются поддельными, Кроме того, изменение учетной записи любым способом, 
дающим ей другой номер идентификации пользователя (ОТО) или иное членство 
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в группах, также является превышением прав. Наблюдая за файлами /еёс/раѕѕма 
и /ефс/5гоир, можно отслеживать эти потенциальные нарушения. 

Для контроля файлов /еёс/раѕѕма и /еёс/вгоир вы можете применить демон 
аудита. Это чрезвычайно мощный инструмент, который позволяет выбирать си- 
стемные события, чтобы отслеживать их и записывать, а также создает отчеты. 

Чтобы начать аудит файлов /еёс/раѕѕма и /еёс/ вгоир, нужно использовать ко- 
манду аџӣіїс+1. Для запуска этого процесса требуется как минимум два варианта 
команд: 


Ф -иЕ11епате. Установите нужное имя файла на +11епаме. Демон аудита отслежи- 
вает файл по его номеру индексных узлов. Номер индексного узла — это струк- 
тура данных, содержащая информацию о файле, включая его местоположение; 


Ф -р ёгірвег(5-). Если реализуется один из типов доступа (=геаа, =мгіќёе, 
=ехеси+е, =аігіри+е) к имени файла, то запись аудита начинается. 


В следующем примере наблюдение было направлено в файл /еёс/раѕѕма с по- 
мощью команды аџоаіёс+1. Демон аудита будет контролировать доступ любых 
действий: чтения, записи или изменения атрибутов файлов: 


# аца1есе1 -м /ефс/ра$$м4 -р гма 


После запуска аудита файлов вы можете отключить его в любой момент. Чтобы 
отключить аудит, используйте команду 


# аиа1есе1 -М имя файла -р Егтддег($) 


Чтобы просмотреть список текущих проверяемых файлов и настройки их на- 
блюдения, введите аџӣіёс+1 -1 в командной строке. 

Чтобы просмотреть журналы, примените команду аизеагсН демона аудита. 
Единственный параметр, необходимый здесь, — это -#, который указывает, какие 
записи нужно просмотреть из журнала. Далее приведен пример данных аудита 
/еєс/раѕѕма: 


# аиѕеагсһ -+ /ефс/ра$$ма 

©іме->Егі Ғер 7 04:27:01 2020 

{уре=РАТН тѕв=аий1(1328261221.365:572): 

ібет=@ пате=" /еёс/раѕѕма" іпойе=170549 
деу=#а:01 тойе=0100644 ои14=0 оріа=0 

где\у=00:00 орбј=ѕуѕъет и:објесі г:еіс 1:50 
фуре=Сиб тѕр=аиӣ1і+(1328261221.365:572): сма="/" 


їіме->Егі Ғер 7 04:27:14 2020 

{уре=РАТН тѕе=аий14(1328261234.558:574): 
ібет=@ пате=" /еёс/раѕѕма" іпойе=170549 
деу=#ӣа:01 тойе=0100644 оиій=0 оріа=0 
где\у=00:00 орбј=ѕуѕбет и:објесі г:ес +:50 
{уре=Сир тѕв=аџӣ14(1328261234.558:574): 
сма=" /һоте/јоһпаое" 


Глава 22. Базовые методы обеспечения безопасности 649 


ъуре=5ҮЅСАШ тѕр=аиӣ11(1328261234.558:574): 

агсһ=40000003 5уѕса11=5 ѕиссеѕѕ=уеѕ ехії=3 

а0=362249 а1=80000 а2=166 а3=0 1%ет$=1 ррій=3891 

ріӣ=21696 аи149=1000 и194=1000 214=1000 еџій=1000 

$и149=1000 Ғѕиій=1000 ерій=1000 $514=1000 Ғѕріӣ=1000 
©ёу=рЕ51 5е5=2 сотт="мі" ехе=" /біп/мі" 
ѕибј=ипсопҒіпеа и: ипсопҒіпеа г: ипсопҒіпеа +: 50-50: сө. с1023" 


Этой информации достаточно для полного обзора файла. Рассмотрим, что зна- 
чат те или иные события из примера: 
© ёіпте — отметка времени действия; 
© пате — имя файла, за которым ведется наблюдение, — /еёс/раѕѕма; 
Ф 1поде — номер индексного узла /еёс/раѕѕма в этой файловой системе; 
® ціа — 1р пользователя, выполняющего программу, — 1000; 
о 


ехе — программа /ріп/уі, применяемая в файле /еїс/раѕѕма. 


Чтобы определить, какой учетной записи пользователя присвоен ОТО 1000, 
посмотрите файл /еЕс/раззмга. В примере ОТО 1900 принадлежит пользователю 
јоһпаое. Таким образом, из приведенной записи аудита вы можете определить, что 
учетная запись јоһпаое пыталась использовать редактор уі в файле /еёс/раѕѕма. 
Сомнительно, чтобы это было сделано случайно, так что требуется более тщатель- 
ное расследование. 


ПРИМЕЧАНИЕ 


Команда аиѕеагоћ ничего не выводит, если в файле не было запущено никаких событий. 


Демон аудита и связанные с ним инструменты чрезвычайно многогранны. Что- 
бы узнать о них больше, посмотрите справочные страницы для следующих утилит 
демона аудита и файлов конфигурации: 

аџаі+а — демон аудита; 

ачаі+а. соп# — файл конфигурации демона; 


аиїаіїсї1 — контролирует систему аудита; 


о 
о 
о 
© аџаі+.ги1е — правила конфигурации загружаются при загрузке; 
® аџѕеагсһ — поиск указанных элементов в журналах аудита; 

Ф аигерог{ — создает отчеты журналов аудита; 

о 


аџиаіѕра — отправляет данные аудита другим программам. 


Демон аудита — это один из способов следить за важными файлами. Вы также 
должны регулярно просматривать свои учетные записи и групповые файлы вруч- 
ную, чтобы отслеживать необычные события. 
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Важные файлы, такие как /ефс/раззма, необходимо отслеживать на предмет 
создания неавторизованной учетной записи. Кроме того, плохо, если учетная за- 
пись авторизованная, но у нее неподходящий пароль. 


Отслеживание учетных записей с неподходящими паролями 


Какие бы усилия вы ни приложили, «плохие» пароли будут проскальзывать. Поэтому 
действительно нужно следить за паролями учетных записей пользователей, чтобы 
убедиться, что они достаточно надежны и могут противостоять атаке. 

Один из инструментов мониторинга надежности паролей — это тот же инстру- 
мент, который злоумышленники применяют для взлома учетных записей, — Јоһћп 
Се Віррег. Это бесплатный инструмент с открытым исходным кодом, который вы 
можете использовать в командной строке Глтах. Он не установлен по умолчанию. 
Для дистрибутива Еейога нужно выполнить команду уит іпѕёа11 јоһп, чтобы 
установить его. 


СОВЕТ 


Чтобы установить Јоһп {Не Кіррег в дистрибутиве Џбипїи, используйте команду ѕийо арї-деѓ іпѕќаі јоһп. 


Чтобы задействовать инструмент Јоћа (Бе Кіррег для проверки паролей пользо- 
вателей, необходимо сначала извлечь имена учетных записей и пароли с помощью 
команды ипѕһадом. Эта информация должна быть перенаправлена в файл для при- 
менения командой јоһп, как показано далее: 


# ипѕһайом /еёс/раѕѕма /еёс/ѕһааом > раззмога.+11е 


Теперь отредактируйте раз5мога. Ғі1е с помощью любого текстового редакто- 
ра, чтобы удалить учетные записи без паролей. Поскольку разумно ограничить 
инструмент Јоһа һе Варрег тестированием нескольких учетных записей одно- 
временно, удалите все имена учетных записей, которые не нужно тестировать 
в данный момент. 


ВНИМАНИЕ! 


Утилита јоһп чрезвычайно интенсивно использует процессор — она устанавливает свой приоритет на значе- 
ние 19. Однако было бы разумно запустить ее в тестовой системе или в нерабочее время и только для несколь- 
ких учетных записей одновременно. 


Теперь с помощью команды јоһп попытайтесь взломать пароль. Чтобы запу- 
стить ) ойп против созданного файла паролей, выполните команду )ойп имя файла. 
В следующем фрагменте кода напротив файла раззмога. #11е показаны выходные 
данные команды јоһп. Для демонстрации в образце файла была оставлена только 
одна учетная запись. Кроме того, учетной записи Ѕатапёћа был дан неверный па- 
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роль. Из примера видно, как мало времени потребовалось инструменту ] оп ће 
Кіррег, чтобы взломать пароль: 


# јоһп раз$мога.+11е 

Іоааеа 1 ра$$мога һаѕһ (вепег1с сгур+(3) [?/32]) 
раѕѕмога (Ѕатапёһа) 

виеѕѕеѕ: 1 іме: 0:00:00:44 100% (2) с/5: 20.87 
{гу1п8: 12345 — міѕѕу 

Узе һе "--ѕһом" ор1оп +о аіѕр1ау а11 о+ «Пе 
сгаскеа раѕѕмогаѕ ге11аб1у 


Чтобы продемонстрировать, насколько важны надежные пароли, посмотрим, 
что происходит, когда пароль учетной записи атап&һћа изменяется с раѕѕмога на 
раѕ5н0га1234. Несмотря на то что Раѕ5могӣ11234 все еще является слабым паролем, 
для его взлома требуется больше семи дней работы процессора. В следующем коде 
команда јоһп наконец закончила попытку взлома: 


# раѕѕма Ѕатап&һа 
Сһапріпв раѕѕмога Фог иѕег ЅатапЁһа. 


# јоһп раѕѕмога. ғі1е 
Іоайеа 1 раѕѕмога һаѕһ (вепег1с сгур(3) [?/32]) 


їіме: 0:07:21:55 (3) с/5: 119 +ғгуіпе: 446675 — {41787 
Ѕеѕѕіоп абог+еа 


Как только процесс взлома паролей будет завершен, раѕѕмога. Ғі1е должен быть 
удален из системы. Чтобы узнать больше об инструменте ]обп Ве Кіррег, посетите 
сайт мм\.орепма!ї.соту/јоһп. 


Мониторинг файловой системы 


Вредоносные программы часто изменяют файлы. К тому же они могут попытаться 
скрыть свои следы, выдавая себя за обычные файлы и программы. Однако есть спо- 
собы раскрыть их с помощью различных методик мониторинга, описанных далее. 


Проверка пакетов программного обеспечения 


Как правило, если вы устанавливаете пакет программного обеспечения из стандарт- 
ного репозитория или загружаете пакет с подтвержденного сайта, у вас не будет 
никаких проблем. Но всегда полезно дважды проверить установленные пакеты, 
чтобы убедиться, что они не были скомпрометированы. Команда для выполнения 
этой задачи — грт -\/ имя пакета. 

При проверке программного обеспечения информация из установленных 
файлов пакетов сравнивается с метаданными пакета (см. главу 10 «Управление 
программами») в базе данных ерт. Если никаких проблем не обнаружено, команда 
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грм -\ ничего не выводит. Но если при проверке появляются расхождения, команда 
выводит кодированный список. В табл. 22.5 приведены используемые коды и опи- 
сание расхождений. 


Таблица 22.5. Расхождения в проверке пакетов 


Код | Расхождение 


Размер файла 


Права доступа и тип файла 


Контрольная сумма МО5 


Основные и второстепенные номера файла устройства 


Символические ссылки 


Владелец 


Группа 


Время изменения файла (тбіте) 


О =[ И ЕЯ 9 [ 


Другие установленные пакеты, от которых зависит этот пакет (так называемые 
инструменты) 


В приведенном далее неполном списке все установленные пакеты проходят 
проверку на верификацию. Вы видите, что во вводе появились коды 5, $ и Т, что 
указывает на потенциальные проблемы: 


# грт -да\ 

56.1555 с /ес/һра.сопғҒ 
Ло. /1ір/тоӣи1е5/3.2.1-3.#с16.1686/тойи1еѕ.Яеупате 
И /116р/тоӣи1е5/3.2.1-3.#с16.1686/тойи1еѕ.ѕоҒёйер 


Нет необходимости проверять все пакеты сразу. Можете проверить только один 
пакет за один раз. Например, если вы хотите проверить пакет птар, просто введите 
команду грт-\ птар. 


ПРИМЕЧАНИЕ 


Для проверки пакетов Џбипїи вам понадобится утилита Чебзит. Она не установлена по умолчанию. Для ее уста- 
новки используйте команду ѕийо арї-деќ изба! Чебзитз. Чтобы проверить все установленные пакеты, используй- 
те команду дебѕитѕ —а. Если хотите проверить один пакет, введите команду Чеббитв имя_лпакета. 


Сканирование файловой системы 


Если вы недавно не обновляли свою систему, двоичные файлы не должны быть 
изменены. Такие команды, как Ғіпа и грт -\, помогут определить, был ли изменен 
двоичный файл. 
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Чтобы проверить наличие изменений двоичного файла, команда Ғіпа исполь- 
зует время его изменения, то есть шЕ1те. Файл мЕ1те отображает время, когда со- 
держимое файла было изменено в последний раз. Кроме того, команда #1па может 
контролировать время создания/изменения файла, то есть сёіте. 

Если вы заметили подозрительную активность, быстро просканируйте свою 
файловую систему, чтобы увидеть, были ли какие-либо двоичные файлы из- 
менены и когда (сегодня или вчера, в зависимости от того, когда, по вашему 
мнению, произошло вторжение). Чтобы выполнить сканирование, используйте 
команду Ғіпа. 

В следующем примере сканируется каталог /$61п. Чтобы узнать, были ли 
какие-либо двоичные файлы изменены менее 24 часов назад, применяется ко- 
манда Ғіпа /ѕбіп -шЕ1те -1. В этом примере отображаются несколько файлов, 
показывающих, что они недавно были изменены. Это говорит о том, что в системе 
протекает вредоносная деятельность. Чтобы продолжить исследование, просмо- 
трите время каждого отдельного файла, используя команду ѕ&аї +11епаме, как 
показано далее: 

# Ғіпа /$61т -тёіте -1 
/ѕріп 

/ѕріп/іпі+ 
/$61п/гебоо* 
/ѕріп/һа1+ 

# 

# ѕ+аї /5ріп/іпі+ 

Еі1е: '/5ріп/іпі' -> '../біп/ѕуѕёета' 

Ѕіле: 14 В10скѕ: ө ТО В1оск: 4096 ѕУутро1іс 1іпк 
Ре\1се: +9911/64769а Тподе: 9551 Ііпкѕ: 1 
Ассеѕ5: (0777/1гихгихгих) 
ила: ( ө/ гоо) Сбіа: ( ө/ гоо) 
Сопфехе: ѕуѕтет и: објесі г:біп &:50 
Ассеѕ5: 2016-02-03 03:34:57.276589176 -0500 
Моаіғу: 2016-02-02 23:40:39.139872288 -0500 


Сһапре: 2016-02-02 23:40:39.140872415 -0500 
Вігёһ: - 


Вы можете создать базу данных всех исходных тёітеѕ и сёітеѕ двоично- 
го файла, а затем запустить скрипт, чтобы найти текущие тёітеѕ и сїітеѕ, 
сравнить их с базой данных и отметить любые расхождения. Однако этот про- 
цесс может выполнить специальная программа. Она называется системой об- 
наружения вторжений (Тһігиѕіоп Юеѓесііоп Ѕуѕіет) и будет рассмотрена далее 
в этой главе. 

Необходимо регулярно выполнять и другие варианты сканирования файловой 
системы. Любимые файлы и настройки файлов злоумышленников перечислены 
в табл. 22.6. Здесь также приведены команды для выполнения сканирования 
и названы причины, по которым файл или настройка файла потенциально про- 
блематичны. 


654 Часть М • Методы обеспечения безопасности в Ипих 


Таблица 22.6. Дополнительное сканирование файловой системы 


Файл или Команда Проблемы с файлом или настройкой 
настройка сканирования 
Права 5010 |Вп4 / -регт -4000 Позволяет любому пользователю временно 
стать владельцем файла, пока тот выполняется 
в памяти 
Права 5610 |Вп4 / -регт -2000 Позволяет любому пользователю временно стать 
членом группы файла, пока тот выполняется 
в памяти 


Файлы гроз | бра Лоте -пате.гћоѕё Позволяет системе полностью доверять другой 
системе. Не должен находиться в каталогах Лоте 


Файлы без Ноа / -поцѕег Указывает на файлы, не связанные с каким-либо 
владельца именем пользователя 

Файлы без бта / -повгоир Указывает на файлы, не связанные ни с одним 
группы именем группы 


Команда грт -\ пакет может сообщить об изменениях, произошедших в файле 
после его установки из пакета КРМ. Для каждого файла из выбранного пакета, 
который изменился с момента установки, отображается следующая информация: 
5 — отличается размер файла; 

М — права или тип файла (режим) различаются; 

5 — хеш отличается (ранее сумма МО5); 

р — главный/второстепенный номер устройства отличается; 
Е — отличается путь геаагіпк(2); 

У — отличается владелец; 

с — отличается группа; 


Т — отличается шТ1 ме; 


Р — отличаются возможности. 


По умолчанию отображаются только измененные файлы. Добавьте параметр -\ 
(уегбоѕе), чтобы показать и файлы, которые не изменились, например: 


# грт -М ѕатба 
5.5....Т. /иѕг/ѕріп/емепё1ораат 


В этом примере я повторил несколько символов в двоичном файле емепё1ораап. 
Он показывает, что размер файла изменился, дайджест больше не соответствует 
исходному дайджесту и время модификации файла изменилось. 

Такие проверки файловой системы помогают отслеживать происходящее в си- 
стеме и обнаруживать вредоносные атаки. Но к файлам могут быть применены 
и другие типы атак, включая вирусы и руткиты. 
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Поиск вирусов и руткитов 


Два популярных инструмента вредоносных атак — это вирусы и руткиты, потому 
что они действуют скрытно. Системы Глпих необходимо проверять на наличие 
обоих вторжений. 

Поиск вирусов. Компьютерный вирус — это вредоносное программное обеспече- 
ние, которое может присоединяться к уже установленному системному программ- 
ному обеспечению и распространяться через средства массовой информации или 
сети. Заблуждением является мнение, что вирусов Глпах не существует. Злонаме- 
ренные создатели вирусов часто фокусируются на более популярных настольных 
операционных системах, таких как \т4о\уз. Однако это не означает, что вирусы 
не создаются и для систем Глпих. 

Что еще более важно, системы Глпих часто применяются для обработки служб, 
таких как почтовые серверы, для настольных систем \/ш4о\з. Поэтому системы 
Тіпих, используемые для таких целей, также необходимо проверять на наличие 
вирусов \т4о\5. 

Антивирусное программное обеспечение сканирует файлы с помощью сигнатур 
вирусов. Сигнатура вируса — это хеш, созданный из двоичного кода вируса. Хеш 
положительно идентифицирует этот вирус. Антивирусные программы имеют базу 
данных сигнатур вирусов, которая используется для сравнения с файлами. В за- 
висимости от количества новых угроз база данных сигнатур вирусов может часто 
обновляться, чтобы обеспечить защиту от новых угроз. 

Хорошим антивирусом для открытой бесплатной системы Глпиах является 
СІатАУ. Чтобы установить его в системе Еейога или КНЕІ., введите команду дп# 
іпѕба11 с1атам. Больше узнать о СІатАУ можно на странице сіатау.пеї, где есть до- 
кументация и инструкция для настройки и запуска антивирусного программного 
обеспечения. 


СОВЕТ 


Вы можете просмотреть пакеты, доступные для установки в дистрибутиве Џбипїи, введя команду арї-сасће ѕеагсћ 
атау. Для Џбипќи доступны несколько различных пакетов, поэтому просмотрите информацию о сайте ЧатАХ, 
прежде чем выбрать пакет. 


Поиск руткитов. Руткит коварнее, чем вирус. Руткит — это вредоносная про- 
грамма, которая: 
® скрывается, часто заменяя собой системные команды или программы; 
® поддерживает высокоуровневый доступ к системе; 
® способна обойти программное обеспечение, созданное для ее обнаружения. 
Цель руткита — получить и поддерживать доступ к системе на корневом уровне. 


Термин был создан путем объединения слов 700, что означает доступ администра- 
тора, и і, что означает несколько программ, работающих совместно. 
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Поисковик руткитов, который можно использовать в системе Глпах, — это 
сһкгоо+кіє. Чтобы установить спкгоо*К1+ в системе Еейога или КНЕТІ., выполните 
команду уит 1п5+а11 сһкгооёкі+. Чтобы установить сһкгоокі+ в системе ОБипби, 
примените команду ѕидо арі-веї іпѕ&а11 сһкгооЁкії. 


СОВЕТ 


Для запуска команды сһКгооќКії лучше всего использовать СЮ или флеш-накопитель, чтобы результаты не были 
скрыты руткитом. Программа Еедога Ѕесигїїу 5р применяет сһкгооїкії на СЮ. Вы можете получить этот дистрибу- 
тив на странице Іабѕ.ѓейогаргојесі.огд/еп/ѕесигіїу. 


Найти руткит с помощью сһкгооќ&кії очень просто. После установки пакета или 
загрузки СО введите команду сһкгооќкі+ в командной строке. Она выполняет по- 
иск по всей файловой структуре, отмечая любые зараженные файлы. 

В примере далее показана работа команды сһкгооїкі? в зараженной системе. 
Команда веер используется для поиска по ключевому слову ТМЕЕСТЕО. Обратите 
внимание на то, что многие файлы, перечисленные как зараженные, являются 
командными файлами оболочки Баѕћ, а это типично для руткита: 


# сһкгооёКкіЄ | егер ІМЕЕСТЕР 


Сһескіпв 'аи'... ІМҒЕСТЕР 
Сһескіпе 'Ғіпа'... ІМҒЕСТЕР 
Сһескіпв '15'... ТМЕЕСТЕО 
Сһескіпв '150#'... ІМҒЕСТЕР 
Сһескіпв 'рѕёгее'... ІМҒЕСТЕР 


Ѕеагсһіпв Ғог Ѕискі гоо{К1*... Магпіпе: /$61п/1п1 ІМҒЕСТЕР 


В последней строке кода сһкгооёкі+ указывает, что система была заражена 
руткитом ѕискіє. На самом деле она заражена не этим руткитом. При запуске ути- 
лит, таких как антивирус и программное обеспечение для обнаружения руткитов, 
часто выводится ряд ошибок первого рода — ложных срабатываний (Ѓа[ѕе роѕійуе). 
Ложное срабатывание — это признак вируса, руткита или другой вредоносной ак- 
тивности, которой на самом деле не существует. В данном конкретном случае оно 
вызвано известной ошибкой. 

Утилиту сһкгооёкіЄ нужно запускать регулярно, и, конечно, следует делать 
это всякий раз, когда есть подозрение, что была предпринята атака руткитом. 
Чтобы найти более подробную информацию о сһкгооќкії, перейдите на страни- 
цу сһКгооїКі.огд. 


СОВЕТ 


Еще один поисковик руткитов, который может вас заинтересовать, — это Коо{КИ Нипќег (гкћипќег). Запустите 
скрипт гКһипїќег, чтобы проверить систему на наличие вредоносных программ и известных руткитов. Настройте 
гкһипќег в файле /еѓс/гкһипїег.сопЁ. Запустите гкһипќег -с, чтобы проверить файловую систему на наличие различ- 
ных руткитов и уязвимостей. 
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Поиск вторжений. Система обнаружения вторжений (Тһігиѕіоп Оеесйоп 
бузбет, 105) — это пакет программ, который отслеживает действия системы (или ее 
сети) на предмет потенциальных вредоносных действий и сообщает о них, помогая 
обнаружить вторжения. Тесно связан с этой системой программный пакет Гигизоп 
Ргеоепійоп $уѕіет. Пакеты могут быть объединены, чтобы обеспечить обнаружение 
и предотвращение вторжений. 

Для системы Глпах доступны несколько пакетов программ обнаружения втор- 
жений. Некоторые из наиболее популярных утилит перечислены в табл. 22.7. 
Вы должны знать, что ёгірміге больше не является частью открытого исходного 
кода. Тем не менее ее исходный код по-прежнему доступен. Более подробную ин- 
формацию см. на сайте г1ри1ге, приведенном в табл. 22.7. 


Таблица 22.7. Популярные системы обнаружения вторжений Ипих 


Система Инсталлятор Сайт 

аіде ушп шзбаП аійе арё-сеё іпѕќа а4е аійе.ѕоцгсеЃогве.пес 
Зпоге Пакеты с сайта гри ог ќагђа] зпогё.ог5 

Сгірміге ушп іпѕќа|ї (гіруіге аре-веё іпѕќа1ї (гіруіге Сгіруіге.оге 


А4уапсе4 Іъігиѕіоп Оеѓесбіоп Епуігоптепё (а14е, усовершенствованная система 
обнаружения вторжений) 105 использует метод сравнения для поиска вторжений. 
Ребенком вы, возможно, играли в игру, где нужно сравнить две картинки и най- 
ти между ними различия. Утилита а1ае применяет тот же метод. Создается база 
данных (первая картинка), через некоторое время создается еще одна база данных 
(вторая картинка), и аїде сравнивает их, сообщая о различиях. 

Итак, нужно сделать начальную базу данных (первую картинку). Лучше всего, 
когда система только установлена. Команда аійе -1 используется для создания 
исходной базы данных, и это может занять много времени. Примеры из вывода 
команды приведены далее. Обратите внимание на то, что команда а14е сообщает, 
где она создает свою первую картинку: 

# аіде -1 
АТОЕ, уегѕіоп 0.16.11 


НН АТОЕ дафаБазе аї /уаг/116/а1ае/а1ае. 46 .пем.в7 іпіііа1іғеа. 


Далее необходимо переместить исходную базу данных в новое место. Это защи- 
тит ее от перезаписи. Кроме того, сравнение не сработает, если база данных не была 
перемещена. Команда для перемещения базы данных и присвоения ей нового имени 
выглядит следующим образом: 


# ср /маг/11Ь/аійе/аійе.ӣб.пем.в2 /\аг/116/а14е/а1ае. 46.527 


Чтобы проверить, не подделаны ли ваши файлы, нужно создать новую базу 
данных (вторую картинку) и сравнить ее с исходной базой данных. Параметр 


658 Часть М • Методы обеспечения безопасности в Ипих 


проверки в команде а1ае, -с, создает новую базу данных и запускает сравнение со 
старой базой данных. Выходные данные, показанные далее, отображают процесс 
сравнения и отчет команды аіде о проблемах: 


# аіде -С 


Е11е: /біп/Ғіпа 

Ѕіле : 189736 , 4620 

С+1те : 2020-02-10 13:00:44 , 2020-02-11 03:05:52 

М 05 : <МОМЕ> , ГгИ238№Ма1\4пи\/57+003в== 

КМ0160 : <МОМЕ> , ОСмк1УПаМиРиРУРМ12НАКчу5ЕЦЕ= 

ЅНА256 : <МОМЕ> , ]56050ам]45 /02Хт5һ4аЕбЈ+х2рбмСтћ№ 
Е11е: /біп/15 

Ѕіле : 112704 , 6122 

Сііме : 2020-02-10 13:04:57 , 2020-02-11 03:05:52 

М05 : РОе0ор46Мукх9а+ЕоУТХОО== , Т$ИМВрЬ$ОУ8ахйм1К 8Мам== 
КМ0160 : №3\/33ое5\/о+с0$5педа9РСОХУКТ= , 
ед2пеВ7сгмнН№М42ҺАЕРТ21мгүҒР4= 

ЅНА256 : үиОғебЕОеоАуМеІхүҮрһ0об+5хК/2х515 , 
26пЕММВОуҮт8486уЕЅІБКВиМуі /+јгОі 


Е11е: /біп/рѕ 
Ѕіле : 76684 , 4828 
С+1те : 2020-02-10 13:05:45 , 2020-02-11 03:05:52 
М05 : 1рсмАМбрехіміВвои50ЕЈҒО== , 4Е1ЈһумкКуМет24%№М.уабсА== 
КМ0160 : хмТСИМЕОН242)]Н$Н2Е8г\/5Кв5КИ= , 
А711Т20№1КгиН4513/\/54Н+1007К= 
ЅНА256 : ҒҒ0реѕЬ#ххЗҮѕ0һрӨЬІТАесбпуксЗте , 
м19ХУСИРЕ2 РігбухМ+пбёЗеоим1ТЕМС/ 


Е11е: /иѕг/біп/аи 

Ѕіле : 104224 , 4619 

С+1те : 2020-02-10 13:04:58 , 2020-02-11 03:05:53 

М05 : 5руОМКмјбіоамј4СӨхҒРВІл== , п2п7угмҒВамАеі ЗпкауїСр== 
КМ0160 : 216тё+/БОМАіеі1В5пујһапих90= , 
2е55001В041 94Тпас4660ІХКСмҮ= 

ЅНА256 : Р/ЈМАКГ/50дерВвхусР9ӨӘпіХгКҮ9+пм , 
НАТалеруІкКиохА1Х2321 јто/ОМА/ККЕ1 

Е11е: /иѕгһ/біп/рѕігее 

Ѕіле : 20296 , 7030 

С+1те : 2020-02-10 13:02:18 , 2020-02-11 03:05:53 

М05 : <МОМЕ> , Уу/М027ХУЦ41 20#МЈ46Ххр== 

КМ0160 : <МОМЕ> , +Е2егбА59Е00158Кк7/1ртеіЕхју= 

ЅНА256 : <МОМЕ> , іАѕЅМКа№Ѕһарр4де7а /ЕмсеКТК=уККЅе 


Файлы, перечисленные проверкой аіде в этом примере, заражены. Однако а1ае 
может отображать и ложные срабатывания. 
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Информация о том, где создаются базы данных аіде, какие сравнения произво- 
дятся, и другие параметры конфигурации обрабатываются в файле /ес/аіде.соп#. 
Далее приводится частичное отображение файла. В примере видны имена файлов 
базы данных и каталогов файлов журналов: 


# саф /ефс/а14е. соп+ 
# Ехатр1е соп1вига{1опт +11е Ғог АІРЕ. 


@@аеҒіпе ОВОТВ /\аг/116/а1ае 
@@аеҒіпе ГОСбОТВ /уаг/10о8/а1ае 


# Тһе 1осаЕ1оп оф {Ве дафабазе Фо Бе геад. 
Дафабазе=+11е : @@{ОВОТВ}/а1ае.а6.57 


# Тһе 1осаёіоп о+ Не дафаБазе о Бе мг1{*еп. 
+Аа+аБазе_оч{=$41 : Но$* : рогі: ЧафаБа$е : 1021п_паме : раѕѕма: +аб1е 
#аа+абаѕе ои=+Ғі1е:аійе.аб.пем 
Дафабазе_ои*=+11е : @@{ОВОТК} /аійе. аб. пем. рг 


Тасгиѕіоп Юеїесіїоп Зузбет отлично помогает в ходе мониторинга системы. 
При обнаружении потенциальных вторжений сравнение выходных данных с ин- 
формацией из других команд (например, ерт -\) и файлов журналов может помочь 
лучше понять и исправить любые атаки на систему. 


Аудит и проверка Итих 


При проведении аудита работоспособности системы Ііпих необходимо понимать 
две важные вещи. Проверка соответствия требованиям — это аудит общей среды 
компьютерной системы для обеспечения правильного выполнения политик и про- 
цедур, установленных для системы. Проверка безопасности — это аудит текущих 
политик и процедур для обеспечения их соответствия общепринятым лучшим 
практикам безопасности. 


Проверки соблюдения требований 


Подобно аудиту в других областях, таких как бухгалтерский учет, аудит может 
проводиться как работниками системы, так и сторонними людьми. Аудит может 
быть таким же простым, как сравнение реализованной безопасности с заявленными 
политиками вашей компании. Однако более популярен аудит с помощью тестиро- 
вания на проникновение. 

Тестирование на проникновение — это метод оценки, используемый для про- 
верки безопасности компьютерной системы путем моделирования вредоносных 
атак. Его называют также пентестом и этическим хакингом. Не нужно собирать 
инструменты и нанимать местного хакера, чтобы провести эти тесты. 
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Кай Глпих (млмлм.Кай.огд) — это дистрибутив, созданный специально для тестиро- 
вания на проникновение. Его можно задействовать с «живого» рур или флешки. 
Компания ОЌепѕіуе ЗесигКу обучает использованию Ка]і Глпах (ммм. оНепяме- 
ѕесигіќу.сот/ погтаНоп-зесийу-{гаттод). 

Хотя тестирование на проникновение — это очень весело, для тщательного 
анализа соответствия требуется больше инструментов. Необходимо также исполь- 
зовать контрольные списки с сайтов безопасности по отраслям. 


Проверки безопасности 


Для проверки безопасности необходимо изучить актуальные рекомендации по 
обеспечению безопасности. Далее приведен краткий список организаций, которые 
помогают оставаться в курсе текущих тенденций безопасности. 
® Компания Опце4 Збафез Субегѕесигіїу апа шёгазгассаге Ѕесигісу Азепсу (СІЅА). 
= Сайт ммм. ив-сег.90у. 
" Предлагает Майопа! СуБег АІег Ѕуѕсет (Национальная система компьютер- 
ного оповещения). 
= Использует К55-каналы на последних угрозах безопасности. 
® Компания Тһе ЗАМ Таѕііиќе. 
= Сайт ммм. запв.огд/зесиу-гезоигсез. 
= Предлагает последние новости исследований Сотриќег Ѕесигісу ВезеагсВ. 
= Использует К55-каналы на последних угрозах безопасности. 
® Компания С1Ьзоп Веѕеагсһ Согрога@оп. 
= Сайт ммм. дгс.сот. 


= Предлагает сервис $еситйу №. 


Информация с этих сайтов поможет создать более эффективные политики 
и процедуры. Учитывая, как быстро меняются методы обеспечения безопасности, 
было бы разумно проверять безопасность чаще, в зависимости от потребностей 
вашей организации. 

Теперь вы гораздо лучше разбираетесь в базовой безопасности Піпих, а впереди 
самое трудное — применить все эти концепции на практике. 


Резюме 


Основные методы обеспечения безопасности Глпих, такие как управление учет- 
ными записями пользователей, защита паролей и управление программным обе- 
спечением и службами, формируют основу для безопасности всей вашей системы 
Глпих. В соответствии с этим постоянный мониторинг системы включает в себя 
наблюдение за файлами системного журнала, проверку на наличие вредоносных 
вторжений и мониторинг файловой системы. 
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Кроме того, важно регулярно пересматривать свои политики безопасности. 
Аудит помогает убедиться в том, что ваша система Глпих защищена, и в наличии 
надлежащих политик и практик безопасности. 

Вы сделали первый шаг в получении базовых знаний о процедурах и принципах 
безопасности. Но недостаточно просто знать основы — необходимо изучить рас- 
ширенные инструменты безопасности Глпих. В следующей главе мы рассмотрим 
дополнительные вопросы безопасности модулей криптографии и аутентификации. 


Упражнения 


Обратитесь к материалам этой главы, чтобы выполнить упражнения. Если затруд- 
няетесь с решением заданий, воспользуйтесь ответами к упражнениям, приведен- 
ными в приложении Б (хотя іпих позволяет решать задачи разными способами). 
Выполните все упражнения и только потом посмотрите в ответы. Задачи подходят 
для систем Ее4ога или Кеа Наб Ерѓегргіѕе Глпих (некоторые сработают и в других 
системах Гіпих). 


1. Проверьте сообщения из журнала зу${ета для следующих служб: МефмогКМа- 
павег. ѕегуісе, ѕ5һа. ѕегуісе и аџаі+а. ѕегуісе. 


2. Перечислите права файла, содержащего пароли пользователей вашей системы, 
и определите, надежны ли они. 

3. Определите срок действия пароля вашей учетной записи с помощью одной 
команды. 

4. Запустите аудит событий в файле /еєс/ѕһайои с помощью демона аиа1ча, а затем 
проверьте настройки аудита. 

5. Создайте отчет из демона аиаі+а в файле /еёс/ ѕһайом, а затем отключите в нем 
аудит. 

6. Установите пакет Іетоп, повредите файл /чзг/61п/1етоп (например, скопируйте 
туда файл /еєсѕегуісеѕ), убедитесь, что файл поврежден, и удалите пакет Іетоп. 


7. Вы подозреваете, что сегодня на вашу систему совершена вредоносная атака 
и были изменены важные двоичные файлы. Какую команду вы должны ис- 
пользовать, чтобы найти эти файлы? 


8. Установите и запустите сћкгоо&кі+, чтобы проверить, не установила ли вредо- 
носная атака из задания 7 руткит. 
9. Найдите файлы с набором прав ЗО ТО или $СТО. 
10. Установите пакет аіде, выполните команду а1ае для инициализации базы дан- 
ных а14е, скопируйте базу данных в нужное место и выполните команду аїае, 
чтобы проверить, были ли изменены какие-либо важные файлы в вашей системе. 


Продвинутые методы 
обеспечения безопасности 


В этой главе 


ш Хеширование и шифрование. 
ш Проверка целостности файлов. 


= Шифрование файлов, каталогов и файловых 
систем. 


и Подключаемые модули аутентификации. 
и Управление безопасностью пих с помощью РАМ. 


Из-за постоянно меняющихся процессов и растущих угроз уже недостаточно 
базовой компьютерной безопасности. Как злоумышленники получают доступ 
к передовым инструментам, так и системный администратор Ііпих должен делать 
это. Необходимо разбираться в текущих тенденциях и использовать актуальные 
инструменты безопасности компьютера. 

В этой главе поговорим об основах криптографии, таких как шифры и шифро- 
вание. Вы также узнаете, как утилита модуля аутентификации может упростить 
административные обязанности даже в продвинутой структуре безопасности. 


Безопасность Мпих с помощью криптографии 


Криптография повышает безопасность вашей системы Глпах и ее сетевых ком- 
муникаций. Криптография — это наука о сокрытии информации. У нее долгая 
и богатая история, которая уходит корнями в далекое прошлое, еще до появления 
компьютеров. Из-за активного использования математических алгоритмов крип- 
тография легко прижилась в компьютерной сфере. Глпих включает в себя много 
готовых криптографических инструментов. 
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Чтобы понять криптографию и различные инструменты Глпих для ее примене- 
ния, необходимо изучить несколько криптографических терминов. 


ө Раш ќехё (плоский текст) — текст, который человек или машина могут про- 
читать и понять. 


® Сірһегѓехё (зашифрованный текст) — текст, который человек или машина 
не могут прочитать и понять. 


ө ЕпсгурИоп (шифрование) — процесс преобразования обычного текста в за- 
шифрованный с помощью алгоритма. 


® Песгурійоп (расшифровка) — процесс преобразования шифрованного текста 
в обычный текст с помощью алгоритма. 


ө Сірһег (шифр) — алгоритм для превращения обычного текста в зашифрован- 
ный, а зашифрованного — в обычный. 


ө ВіосК сірћег (блочный шифр) — шифр, который разбивает данные на блоки 
перед шифрованием. 


© Ѕігеат сірһег (потоковый шифр) — шифр, который шифрует данные, не раз- 
бивая их. 


ө Кеу (ключ) — фрагмент данных, необходимый шифру для успешного шифро- 
вания или дешифрования данных. 


Родители маленьких детей часто используют такую форму криптографии. 
Они пишут слова, а не произносят их. Родители могут взять слово «конфеты» 
и превратить его в шифрованный текст, говоря друг другу: «К-О-Н-Ф-Е-Т-Ы». 
Они расшифровывают слово с помощью одинакового шифра и понимают, что это 
слово «конфеты». К сожалению, детям не требуется много времени, чтобы на- 
учиться расшифровывать зашифрованное с помощью орфографического шифра. 

Возможно, вы заметили, что в приведенном списке нет хеширования. Его часто 
путают с шифрованием, поэтому оно требует особого внимания. 


Хеширование 


Хеширование — это не шифрование, а одна из форм криптографии. В главе 22 
«Базовые методы обеспечения безопасности» сказано, что хеширование — это одно- 
сторонний математический процесс, используемый для создания зашифрованного 
текста. Однако, в отличие от шифрования, вы не можете дехешировать созданный 
хеш, превратив его в исходный обычный текст. 

Для того чтобы алгоритм хеширования применялся в сфере компьютерной 
безопасности, он должен быть избавлен от ошибок — это означает, что алгоритм 
не должен выводить один и тот же хеш для двух совершенно разных входных 
данных. Каждый вход должен иметь уникальный хешированный выход. Таким 
образом, криптографическое хеширование — это односторонний безошибочный 
математический процесс. 
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По умолчанию криптография уже используется в системе Глпих. Например, 
файл /ес/ѕһайом содержит хешированные пароли. Хеширование применяется 
в системах іпих для следующих целей: 


® создания паролей (глава 22); 

® проверки файлов; 

® создания цифровых подписей; 

® создания сигнатур вирусов (глава 22). 


Хеш называется также отпечатком контрольной суммы дайджеста сообщения 
или сигнатурой. Одна из утилит Глпах, которая производит дайджесты сообще- 
ний, — это ѕһа256ѕип. В главе 10 «Управление программами» было описано про- 
граммное обеспечение для вашей системы Глпах. При загрузке файла программ- 
ного обеспечения вы можете убедиться, что он не был поврежден. 

На рис. 23.1 показан сайт для загрузки дистрибутивного программного обеспе- 
чения Еедога, хранящегося и в виде файла, и в виде І80-образа. На этой странице 
описано, как загрузить и использовать утилиту ѕһћа256ѕит, чтобы убедиться, что 
загруженный вами [$О-образ не был поврежден во время загрузки. 


ГӨ зесяку зла оонто х 3 
< > СФО в зеге | пиру деедогаогоѓеп/уесийуд 


ЕЧКЮп$ ~  роситепкабоп 


Гедога Кеерѕ уои ѕаѓе. 


еагп һом (о уегИу уоиг бомтіоааѕ. 


\Мегйу уоиг домпіоаа уміє СНЕСКЅ0М йеѕ. 


Опсе уоџ һаме домпіоадед ап ітағе, мегіѓу ії їог есиг\у апа Іпќергіїу. То мегіїууоиг таре, ѕїагі Бу домпіоааіпӯ {ће 
ргорег СНЕСКЗУМ #Іе іпѓо {ће ѕате дігесѓогу аѕ (ће итаяе уои домтпіоадеа. Тһеп ѓоом Һћгее еаѕу ѕїерѕ. 


Аг, трогі Ғейога'ѕ СРС Кеу(5): Гедога Могкогайоп 

• Ғейога 30 х86_64 СНЕСКЅШМ 

$ сиг1 Һрз://десҒедога.огд/зсаќіс/Ғедога. 1 = -Зарог& = 
Е е е а ны • Ғейога 301386 СНЕСКЗИМ 


М№оќе (Һа уоџ сап уегИу (Һе Фетай$ о! {Безе Кеуз Беому. ра 


Мом, уегіѓу папе СНЕСКЗИМ йе 6 май: • Гедога 30 х86_64 СНЕСКЗИМ 


$ 9Р9 --уегіғу-Ғі1ез *-СНЕСКЗИМ • Гедога 30 аагсћб4 СНЕСКЗУМ 


Тһе СНЕСКЅЏМ Яе ѕһоџій Рауе а 004 з1пагиге {гот опе оѓ (Һе Кеуз Еедога Могкѕќайоп Веса 
деѕсгіБеа Беіоу. • Ғейога 31 х86 64 СНЕСКЅОМ (9 
1аѕ0у, сһеск (Һас уоиг Фомпюад'$ сһескѕит та(свез: Ғейога Ѕегуег Веќа 


$ зһа256зит -с *-СНЕСКЗИМ • Гедога 31 х86_64 СНЕСКЅОМ (8) 


• Гедога 31 аагсћб4 СНЕСКЅОМ (2889 
Ве оиќрих 5‹а(еѕ (Һас (Һе Я 15 май, (Һеп і геабу го изе! 


Рис. 23.1. Страница безопасности Рейога 150 зесигКу с описанием того, как загрузить 
и проверить утилиту ѕћа256ѕит 
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Хеш создается из программного файла с исходным местоположением с исполь- 
зованием алгоритма хеширования 5НА-256. Результаты хеширования могут быть 
опубликованы открыто, как сделано на рис. 23.1. Чтобы обеспечить целостность 
загруженного файла программного обеспечения, вы создаете хеш этого файла 
ѕһа256 ѕитһаѕһ в нужном месте. Затем сравниваете результаты вашего хеша с опу- 
бликованными результатами хеша. Если они совпадают, значит, файл программного 
обеспечения не был поврежден. 

Чтобы создать хеш, выполните команду ѕћа256ѕит в 13 О-образе после его за- 
грузки. Результаты хеширования ѕһа256ѕит для загруженного программного файла 
показаны далее: 


$ ѕһа256ѕит Еедога-Иогк$аЕ1оп-11\уе-х86_64-30-1.2.150 
а4е2с49368860887+1сс1166696132324944954е6646+29с97566с7с+а95е13+39+ 
Ғедога-Могкѕћаёіоп-іуе-х86 64-30-1.2.1іѕо 


Полученный хеш действительно совпадает с тем, который доступен на сайте на 
рис. 23.1. Это означает, что загруженный 150-файл не поврежден и готов к работе. 

Вы можете реализовать в системе Глпих не только хеширование, но и другие сред- 
ства криптографии. Утилиты криптографии Шіпих очень просты в использовании. 
Но сначала вам нужно понять еще несколько основных принципов криптографии. 


Шифрование и расшифровка 


Основное применение криптографии в системе Глпих заключается в кодировании 
данных (шифрование), чтобы скрыть их от посторонних глаз, а затем декодиро- 
вании (дешифрование), чтобы их могли увидеть авторизованные пользователи. 
В системе Ііпих вы можете зашифровать: 

® личные файлы; 

разделы и тома; 

связи веб-страниц; 

сеть; 


резервные копии; 


архивы. 


Процессы шифрования/дешифрования применяют специальные математиче- 
ские алгоритмы для выполнения своей задачи. Алгоритмы называются крипто- 
графическими шифрами. 


Криптографические шифры 


Один из оригинальных шифров, названный шифром Цезаря, создан и использован 
самим Юлием Цезарем. Однако взломать его было очень легко. Сегодня доступ- 
но гораздо больше безопасных шифров. Важно понимать, как работает каждый 
шифр, потому что сила выбранного вами шифра должна напрямую соотноситься 
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с потребностями в безопасности данных. В табл. 23.1 перечислена часть современ- 


ных шифров. 


Таблица 23.1. Криптографические шифры 


Метод Описание 
АЕЗ (А4уапсе4 | Симметричные криптосистемы. 
Епсгуріїоп Блочный шифр, шифрующий данные в 128-, 192-, 2565, 512-битовые блоки, 
Ѕапаага), использующие 128-, 192-, 256- или 512-битный ключ для шифрования/ 
также Куп4ае| | расшифровки 
ВІомЁѕћ Симметричные криптосистемы. 
Блочный шифр, шифрование данных в 64-битные блоки с применением 
одних и тех же 32- и 448-битных ключей для шифрования/расшифровки 
САЅТ5 Симметричные криптосистемы. 
Блочный шифр, шифрование данных в 64-битные блоки с использованием 
одного и того же до 128-битного ключа для шифрования/расшифровки 
РЕЗ (Раба Больше не считается безопасным. 
Епһсгуріїоп Симметричные криптосистемы. 
Ѕсапаага) Блочный шифр, шифрование данных в 64-битные блоки с применением 


одного и того же 56-битного ключа для шифрования/расшифровки 


ЗрЕЅ Гъргохеі 


Симметричные криптосистемы. 


"РЕ$ сірћег Данные шифруются до 48 раз тремя различными 56-битными ключами до 
завершения процесса шифрования 
ЕІ Сата Асимметричное шифрование. 


Использует два ключа, полученных из логарифмического алгоритма 


ЕШрис Сигуе 


Асимметричное шифрование. 


Стурбозузетз | Применяет два ключа, полученных из алгоритма, содержащего две случайно 
выбранные точки на эллиптической кривой 

ІЮЕА Симметричные криптосистемы. 
Блочный шифр, шифрование данных в 64-битные блоки с использованием 
одного и того же 128-битного ключа для шифрования/расшифровки 

КСА, Потоковый шифр, шифрование данных в 64-битные блоки с применением 

или АгсЕоиг, переменного размера ключа для шифрования/расшифровки 

или АКС4 

ВС5 Симметричные криптосистемы. 
Блочный шифр, шифрование данных в 32-, 64- или 128-битные блоки 
с использованием одних и тех же до 2048-битных ключей для шифрования/ 
расшифровки 

В Сб Симметричные криптосистемы. 


Такой же, как ВС5, но быстрее 


Вуадае! или 
АЕЅ 


Симметричные криптосистемы. 

Блочный шифр, шифрующий данные в 128-, 1925, 256-, 512-битные блоки, 
применяющие 128-, 192-, 256- или 512-битный ключ для шифрования/ 
расшифровки 


КА 


Самое популярное асимметричное шифрование. 
Использует два ключа, полученных из алгоритма, содержащего кратное двум 
случайно сгенерированным простым числам 
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Криптографические ключи шифрования 


Криптографические шифры требуют фрагмента данных, называемого ключом, для 
завершения математического процесса шифрования/расшифровки. Ключ может 
быть либо одним ключом, либо парой ключей. 

Обратите внимание на различные размеры ключей шифрования, перечисленные 
в табл. 23.1. От размера ключа напрямую зависит то, насколько легко взломать 
шифр. Чем больше ключ, тем меньше вероятность взлома шифра. Например, РЕЅ 
больше не считается безопасным из-за небольшого, 56-битного ключа. Однако 
шифр с ключом 256 или 512 бит считается безопасным, потому что потребуются 
триллионы лет, чтобы взломать его грубой силой. 

Криптография с симметричным ключом. Симметричная криптография, также 
называемая криптографией закрытого ключа, шифрует обычный текст с помощью 
одного ключевого шифра. Тот же ключ необходим для расшифровки данных. 
Преимуществом криптографии с симметричным ключом является скорость. 
Недостаток — необходимость совместного использования одного ключа, если за- 
шифрованные данные должны быть расшифрованы другим человеком. 

Пример криптографии с симметричным ключом в системе [пах выполняется 
с помощью утилиты ОрепРСР, СМО Риуасу Сиага, вре2. Пакет впирв2 устанав- 
ливается по умолчанию в Еедога и ВНЕГ. Для ОБипа требуется установить пакет 
2пире?2, чтобы применять команду 5р52. 

Шифрование и расшифровка архивного файла ќаг. В следующем примере по- 
казаны команда *аг, используемая для создания сжатого архива +аг (баскир.+аг. в), 
и утилита врё2 для шифрования файла. С помощью параметра -с утилита ерв2 
шифрует файл симметричным ключом. Исходный файл сохраняется, и создается 
новый зашифрованный файл Баскир.+аг.вг2. вре: 


# +аг -су2е /%тр/БасКир.Жаг.57 /ефс 
# =рё2 -с --Ғогсе-тас \ 
-о /&тр/Баскир.+аг.в2.рре /+тр/баскир.+аг.р2 
Епёег раѕѕрһгаѕе: ****** 
Кереа+ раѕѕрһгаѕе: ****** 
# са /+тр ; Е11е Баскир* 
/&тр/епс/БасКир.+аг.57: 571р сотргеѕѕеа аафа, 1аѕ+ тоаіғіеа: Тһи 
Зап 30 02:36:48 2020, Ғгот Опіх, огіріпа1 ѕіле тоаи1о 2^32 
49121280 
/&тр/епс/баскир.ёаг.р2.ерв: СРб ѕуттеёгіса11у епсгур+еа дата 
(САЅТ5 сірһег) 


Единственный ключ, применяемый для шифрования файла, защищен пароль- 
ной фразой. Это просто пароль или фраза, выбранная пользователем во время 
шифрования. 

Чтобы расшифровать файл, снова задействуйте утилиту вре2. Например, если 
вы передадите файл другому пользователю, он может запустить ере2 с параметром 
-а и предоставить кодовую фразу секретного ключа: 


$ ррв2 -а --Ғогсе-тас /Етр/баскир.+аг.в2.вре > /Етр/баскир.+аг. е2 
<Во Всплывающем окне появится запрос на ввод пароля> 
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врв: САЅТ5 епсгурфе ааа 
врв: епсгурёеа міёһ 1 раѕѕрһгаѕе 


В результате исходный файл +аг расшифровывается и копируется в файл /&тр/ 
раскир.+аг.вх. Если в системе работает демон вре -авепї, то парольная фраза кэши- 
руется, чтобы файл можно было расшифровать, не вводя ее снова. 

Криптография с симметричным ключом довольно проста и понятна. Асимме- 
тричная криптография гораздо сложнее, и при ее реализации часто совершают 
ошибки. 

Криптография с асимметричным ключом. Асимметричная криптография, 
также называемая криптографией с закрытым /открытым ключом, использует два 
ключа, называемых парой ключей. Пара ключей состоит из открытого и закрытого 
ключей. Открытый ключ именно открытый. Нет никакой необходимости держать 
его в секрете. А вот секретный ключ раскрывать никому нельзя. 

Суть криптографии с асимметричным ключом показана на рис. 23.2. Обычный 
текстовый файл шифруется с помощью открытого ключа из пары ключей. Затем 
зашифрованный файл может быть передан другому человеку. Для его расши- 
фровки используется закрытый ключ. Он тоже должен быть из пары открытого/ 
закрытого ключей. Таким образом, данные, зашифрованные с помощью открытого 
ключа, могут быть расшифрованы только с помощью соответствующего закрытого 
ключа. Преимуществом асимметричной криптографии является повышенная без- 
опасность, недостатком — скорость и управление ключами. 


Открытый ключ Закрытый ключ 


Незашифрованный Зашифрованный Зашифрованный Незашифрованный 
файл файл файл файл 


Рис. 23.2. Базовая криптография с асимметричным ключом 


Создание пары ключей. Асимметричное шифрование в системе Глпих осу- 
ществляется с помощью утилиты враг. Это универсальная утилита криптографии. 
Прежде чем зашифровать файл, вы должны создать пару ключей и связку ключей. 
В примере далее была применена команда ере2 --веп-Кеу. Она создает пару из от- 
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крытого/закрытого ключа для пользователя јоһпаое в соответствии с желаемыми 
настройками. Она также генерирует связку ключей для хранения этих ключей: 


$ ЕрЕ2 --веп-Кеу 
врв (бпиРб) 2.2.9; Соруглейе (С) 
2018 Егее 5$омаге Ғоипааёіоп, Тис. 


бпиуРб пееаѕ ёо соп$гисЕ а изег Ір фо 14епЕ1Фу уоиг Кеу. 
Веа1 пате: Јоһп рое 
Ета1] ааӣгеѕ5: јӣӢое@ехатр1е.сот 
Үои зе1есфеа +115 Ц$ЕК-ТО: 
"Јоһп рое <)4ое@вта11 .сот>" 
СПапёе (№)ате, (Е)та11 ог (0)Кау/(0)ич1*? 0 
Үои пееа а Раѕѕрһгаѕе +о рго%ес уоиг ѕесгеї Кеу. 
<Во всплывающем окне появится запрос на ввод пароля> 
Епёег раѕѕрһгаѕе: ***%*%*%*%ж%ж% 
Вереа{ раѕѕрһгаѕе: ********ж** 


врв: /һоме/јаое/.епире/&гиѕъар. верв: ФгизЕаб сгеа+еа 

врв: Кеу 383064509798С173 тагке аз и1+ітае1у Єгиѕ+еа 

врв: а1гесфогу ' /һоте/јаое/ .рпире/орепрер-гемосѕ.а' сгеа+еа 

врв: гемосаіоп сегііҒіса+е зфогед аѕ ' /һоте/јаое/ .впире/орепрергеуосѕ.а/ 

7469ВС03реѕА4 

3130Е1786Е0383064509798С173 .ге\' 

рчб11с апа ѕесге Кеу сгеафеЯ апа ѕірвпеа. 

рир  гза2048 2019-10-27 [5С] [ехрігеѕ: 2021-10-26] 
7469ВС03005А43130ғ1786Е03830645р9798С173 

иіа Јоһп рое <јаоеҝ@ехатр1е.сот> 

ѕир  г5а2048 2019-10-27 [Е] [ехрігеѕ: 2021-10-26] 


В предыдущем примере утилита #рё2 запрашивает несколько спецификаций 
для генерирования желаемых открытых /закрытых ключей: 


® 1р пользователя, который определяет часть открытого ключа пары «открытый / 
закрытый ключ»; 


Ф адрес электронной почты, связанный с ключом; 


® парольную фразу, которая и применяется для идентификации и защиты части 
закрытого ключа пары «открытый/закрытый ключ». 


Пользователь јоһпаое может проверить свой набор ключей с помощью команды 
2рЕ? --1151-Ккеуѕ, как показано в следующем примере. Обратите внимание на то, 
что идентификатор пользователя (ОТО) открытого ключа отображается таким же, 
как был создан, и содержит настоящее имя пользователя јоһпӣое, комментарий 
и адрес электронной почты: 
$ врР2 --11іѕ+-кеуѕ 
/ћоте/јаое/ . впире/риргіпе. кох 


рир гза2048 2019-10-27 [5С] [ехрігеѕ: 2021-10-26] 
7469ВС03005А43130ғ1786Е0383064509798С173 

иіа [ч1Е1тафе] Јоһп рое <јӣоеҝ@ехатр1е.сот> 

ѕир  г5а2048 2019-10-27 [Е] [ехрігеѕ: 2021-10-26] 
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После создания пары ключей и их связки файлы могут быть зашифрованы 
и расшифрованы. В первую очередь открытый ключ должен быть извлечен из 
связки ключей, чтобы его можно было использовать совместно. В следующем 
примере утилита #рё2 применяется для извлечения открытого ключа из связки 
ключей пользователя јоһпаое. Извлеченный ключ помещается в файл совместного 
применения. Имя файла может быть любым. В данном случае пользователь јоһћпаое 
выбрал имя файла Јоһпрое.риб: 


$ ррв2 --ехрог+ Јоһп Оое > Зоппрое.риб 

$ 15 *.риб 

Јоһпрое.риь 

$ +11е Јоһпрое.риБ 

Зоппбое.риб: РСР/бРб Кеу ричбБ11с г1пё (№4) сгеафеЯ $ип Осі 27 16:24:27 
2019 КЅА (Епсгуре ог $51еп) 2048 Б145$ МРТ=0хс57а29а615163е8а... 


Передача открытого ключа. Файл, содержащий открытый ключ, может быть 
передан любым доступным способом. Его можно отправить в виде вложения по 
электронной почте или даже разместить на веб-странице. Открытый ключ — он 
и есть открытый, поэтому нет необходимости его скрывать. В следующем примере 
пользователь )ойпдое передал файл, содержащий его открытый ключ, пользовате- 
лю 3111. Далее последний добавляет открытый ключ пользователя јоһпӣое в свою 
связку ключей с помощью команды 2ре2 - -ітрог+. Пользователь 3111 убеждается, 
что открытый ключ јоһпӣое добавлен, с помощью команды ере2 --115+ -кеуѕ, ко- 
торая просматривает ключи в общей связке ключей: 
$ 15 *.риб 
Јоһпрое.рир 


$ 2рё2 --ітрог+ Јоһпрое.риБ 
врв: дігесіогу '/поте/3111/.впирё' сгеа+еа 


врв: дігесіогу '/поте/)111/.впирё' сгеа+еа 

врв: Кеурох '/һоте/3ј111/.рпире/риргіпе.кох' сгеафеа 

вре: /һоте/3111/.епире/&гиѕъаб. врв: Егизаб сгеа+еа 

врв: Кеу 383064509798С173: рир1іс Кеу "Јоһп рое <јаое@ехатр1е.сот>" 


ітрог+еа 
врв: Тофа1 питбег ргосе$$еа: 1 
вре: ітрог+еа: 1 


$ ррв2 --115+-кеуѕ 
/ћоте/3ј111/ .рпире/риргіпе.рре 


рир ғѕа2048 2019-10-27 [5С] [ехрігеѕ: 2021-10-26] 
7469ВС03005А43130Ғ1786Е0383064509798С173 

иіа [ чпкпомп] Јоћп рое <)4ое@ехатр1е. сот> 

ѕир  г5а2048 2019-10-27 [Е] [ехрігеѕ: 2021-10-26] 


Шифрование сообщения электронной почты. Добавленный в связку ключей 
открытый ключ можно применять для шифрования данных для первоначального 
владельца. В приведенном далее примере кода обратите внимание на то, что поль- 
зователь јі11 создал текстовый файл МеѕѕареЕогЈоһп.іхі для пользователя јоһпаӣое. 
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® Пользователь 3111 шифрует файл с помощью открытого ключа пользователя 
јоһпаое. 


® Зашифрованный файл МеѕѕавеҒогЈоһп создается с помощью параметра - -ои+. 


® Параметр - -песіріепё11 идентифицирует открытый ключ пользователя јоһпаое, 
применяя только часть реального ОТО его открытого ключа в кавычках — "Јоһћп 


рое": 


$ ррв2 --ои+ МеѕѕареЕогЈоһп --гесіріепё "Јоһп рое" \ 
--епсгурі МеѕѕареЕогЈоһп.х+ 


$ 15 

Зоппбое.риб МеѕѕареҒогЈоһп МеѕѕареҒогЈоһп.х+ё 

Зашифрованный файл сообщения МеѕѕавеҒогЈоћһп, созданный из обычного тек- 
стового файла МеѕѕавеЕогЈоһп.хе, может быть отправлен пользователю јоһпаое. 
Чтобы расшифровать это сообщение, он задействует свой закрытый ключ, иденти- 
фицированный и защищенный секретной парольной фразой, которая применялась 
при создании ключа. После того как пользователь јоћпӣое укажет правильную па- 
рольную фразу, команда ере2 расшифрует файл сообщения и поместит его в файл 
71115Меѕѕаве, обозначенный параметром -ои*. После этого текст сообщения можно 
прочитать: 


$ 15 МеѕѕареЕогЈоһп 
МеѕѕареЕогЈоһп 
$ ррв2 --оиї 3111$Меззаре --десгуре МеѕѕареҒогЈоһп 
<А рор-ир итпаом рготр®5 уои рог а раѕѕрһгаѕе> 
врв: епсгурфеЯ мі+һ 2048-61 КЅА Кеу, ТО р9ЕВС5Е731703830, сгеа+еа 
2019-10-27 
"Јоһп рое <јаоеҝ@ехатр1е.сот>" 
$ саї 71115Меѕѕаре 
І Кпом уои аге поё {Ве геа1 Јоһп рое. 


Итак, вот что нужно сделать для того, чтобы зашифровать и расшифровать 
файлы с использованием асимметричных ключей. 
1. Создать пару ключей и связку ключей. 
2. Добавить копию открытого ключа в файл. 
3. Передать файл с открытым ключом. 
4 


Пользователи, которые хотят отправить вам зашифрованные файлы, должны 
добавить этот открытый ключ в свою связку ключей. 


л 


Файл шифруется с помощью вашего открытого ключа. 

6. Зашифрованный файл отправляется вам. 

7. Вы расшифровываете файл с помощью своего закрытого ключа. 

Именно поэтому асимметричные ключи могут вызвать путаницу! Помните, что 


в асимметричной криптографии каждый открытый и закрытый ключ — это пара, 
которая работает вместе. 
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Цифровые подписи 


Цифровая подпись — это электронный механизм, используемый для аутентификации 

и проверки данных. Цифровая подпись — это не скан вашей физической подписи. 

Это криптографический токен, отправленный вместе с файлом, поэтому получатель 

файла может быть уверен, что файл пришел от вас и никоим образом не был изменен. 
При создании цифровой подписи выполняются следующие действия. 


Создается файл или сообщение. 
2. С помощью утилиты #р22 можете создать хеш, или дайджест, сообщения файла. 


Затем утилита ере2 шифрует хеш и файл, используя асимметричный шифр клю- 
ча. Для шифрования применяется закрытый ключ пары «открытый/закрытый 
ключ». Теперь это зашифрованный файл с цифровой подписью. 


4. Вы отправляете зашифрованный хеш (он же цифровая подпись) и файл полу- 
чателю. 


5. Получатель повторно создает хеш, или дайджест, сообщения полученного за- 
шифрованного файла. 


6. Используя утилиту вре2, получатель расшифровывает полученную цифровую 
подпись с помощью открытого ключа, чтобы получить исходный хеш, или дай- 
джест, сообщения. 


7. Утилита врё2 сравнивает исходный хеш с воссозданным, чтобы проверить, 
совпадают ли они. Если совпадают, получателю сообщается, что с цифровой 
подписью все в порядке. 


8. Теперь получатель может прочитать расшифрованный файл. 


Обратите внимание на то, что в пункте 3 сначала используется закрытый ключ. 
В описании криптографии с асимметричным ключом говорилось, что первым был 
применен открытый ключ. Криптография с асимметричным ключом довольно 
гибка и позволяет вам использовать свой закрытый ключ для шифрования, а полу- 
чателю — задействовать ваш открытый ключ для расшифровки. 


ПРИМЕЧАНИЕ 


Цифровые подписи имеют собственные специальные шифры. Несколько шифров могут обрабатывать как шифро- 
вание, так и создание подписей, однако есть и такие, чья единственная работа заключается в создании цифровых 
подписей. Ранее самыми популярными криптографическими шифрами для создания подписей были В$А и алго- 
ритм цифровой подписи (Оідіќа! 5ідпаїиге А!дог т, 05А). Алгоритм В5А может использоваться как для шифро- 
вания, так и для создания подписей, в то время как 05А — только для создания цифровых подписей. Сегодня 
алгоритм Е925519 считается более безопасным и быстрым, чем ВЅА, а алгоритм ЕСОЗА обеспечивает лучшую за- 
щиту, чем 0$А. 


Как видите, цифровая подпись содержит как криптографическое хеширование, 
так и асимметричную криптографию ключа. Этот сложный процесс часто обраба- 
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тывается специально настроенным для этого приложением, а не непосредственно 
пользователями системы Глпих. Однако вы можете вручную добавить собственные 
цифровые подписи к документам. 

Подпись файла цифровой подписью. Предположим, что пользователь у оппаое 
собирается отправить пользователю сһгіѕёіпер сообщение вместе со своей цифро- 
вой подписью. Он создал файл, содержащий текстовое сообщение. Он применяет 
утилиту вре2 для создания файла подписи и шифрования файла сообщения. Пара- 
метр --ѕівп сообщает утилите вре2, что МеззавеРогСИг1$41пе.+х* — это файл для 
шифрования и использования цифровой подписи. В ответ утилита врё?: 


® создает дайджест сообщения (он же хеш) файла сообщения; 

® шифрует дайджест сообщения, который создает цифровую подпись; 
® шифрует файл сообщения; 
ө 


помещает зашифрованное содержимое в файл, указанный параметром - -оиёриќ, 
то есть в файл Јоһпрое.05. 


Теперь файл пользователя Јоһпрое.р5 содержит зашифрованное и подписанное 
цифровой подписью сообщение. В примере продемонстрирован этот процесс: 


$ врё2 --оифриф Јоһпрое.05 --$15п МеѕѕареҒог7111.1хї 


После того как пользователь 3111 получит подписанный и зашифрованный 
файл, он может применить утилиту ере2 для проверки цифровой подписи и рас- 
шифровки файла. В следующем примере используется параметр --4есгур* вместе 
с именем файла с цифровой подписью Јоһпрое.05. Сообщение файла расши- 
фровывается и отображается. Цифровая подпись файла проверяется и считается 
действительной: 


$ ррв2 --Чесгуре Јоһпрое.р5 

І ат +һе геа1 Јоһп Оое! 

врв: Ѕівпа+иге майе Ѕип 27 Осі 2019 07:03:21 РМ ЕРТ 

вре: иѕіпе КЅА Кеу 
7469ВС03005А43130Ғ1786Е0383064509798С173 

врв: Сооа $1епафиге гот "Јоһп рое <)4ое@ехатр1е.сот>" [ипкпомп ] 


Без открытого ключа пользователя јоћпӣое на связке ключей пользователя 
ј111 последний не смог бы расшифровать это сообщение и проверить цифровую 
подпись. 


СОВЕТ 


В предыдущем примере цифровая подпись документа позволяет любому человеку, имеющему открытый ключ, 
расшифровать документ. Чтобы по-настоящему скрыть его, задействуйте открытый ключ получателя для шиф- 
рования с помощью параметров --ѕідп и --епсгур команды 9рд2. Получатель сможет расшифровать документ 
с помощью своего закрытого ключа. 
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Понимание основ криптографии поможет вам начать работу по защите системы 
Гіпих с помощью шифрования. Имейте в виду, что в этой главе мы рассмотрели 
только основы. Есть еще много относящихся к криптографии тем, таких как циф- 
ровые сертификаты и инфраструктура открытых ключей, которые стоит изучить 
дополнительно. 


Криптография в системе Мпих 


В вашей системе Глпих доступны многие инструменты криптографии. Какие из них 
вы решите использовать, зависит от требований безопасности в вашей организации. 
Далее приведен краткий обзор доступных инструментов криптографии Глпих. 


Обеспечение целостности файлов 


Ранее в этой главе целостность файла 150 проверялась с помощью утилиты дай- 
джеста сообщений $На2565им. 

Связанные утилиты дайджеста сообщений — это: 

$Па2245 ит; 

ѕһа256ѕипт; 

ѕһаз845ит; 


ѕ5ћһа5125ипт. 


Эти инструменты работают точно так же, как команда ѕһа1ѕипт, за исключени- 
ем, конечно, использования стандарта криптографического хеша ЅНА-2. Един- 
ственное различие между инструментами 5НА-2 — это длина ключа, который 
они применяют. Команда ѕһа2245ит использует длину ключа 224 бита, команда 
ѕһа256ѕит — 256 бит ит. д. Помните, что чем больше длина ключа, тем меньше 
вероятность взлома. 

Криптографический хеш-стандарт ЗНА-2 был создан Агентством националь- 
ной безопасности (Ма@опа| Ѕесигісу Авепсу, МЅА). ЗНА-3 — еще один криптогра- 
фический стандарт хеширования, который был выпущен Национальным институ- 
том стандартов и технологий (Тһе Майопа! 5 йще оЁ Ѕќапаагаіѕ апа ТесһпоЇору, 
МІЅТ) в августе 2015 года. 


Шифрование файловой системы Ипих при установке 


Возможно, вам потребуется зашифровать всю файловую систему на своем сер- 
вере пих. Это можно сделать несколькими способами, в том числе с помощью 
бесплатного программного обеспечения с открытым исходным кодом (ЕО$5) 
сторонних инструментов, например Глпих Ошве4 Кеу Ѕеѓќир (ГОК$) (д#аБ.сот/ 
сгур5еир/сгуре р). 
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Один из вариантов — это зашифровать корневой раздел при установке систе- 
мы Шпих (см. главу 9 «Установка Шіпих»). Возможность шифрования в процессе 
установки имеют многие дистрибутивы Глпих, например Кей Наї Епќегргіѕе Глпих 
(рис. 23.3). 


Ѕіогаде СопЯЙдига оп 
(О) Ашотайс (ж) Сизют 
Епсгурёіоп 


(М ЕпсгурЕ ту даѓќа. Үсу! зе а раѕѕрһгаѕе пеж. 
Рис. 23.3. Шифрование при установке дистрибутива Веа Наѓ Епїегргіѕе Ипих 


После выбора этого варианта во время установки нужно будет ввести пароль. 
Это симметричная ключевая криптография с паролем, защищающим единствен- 
ный ключ. На рис. 23.4 показано диалоговое окно, запрашивающее пароль ключа. 
Пароль должен содержать не менее восьми символов. 


215К ЕМСКҮРТІОМ РА$$РНКА$Е 


Уоц Вауе сһоѕеп фо епсгурї ѕоте оѓ уоиг Дака. Уои ми пее {о сгеаѓе а раѕѕрһгаѕе {Па уои ми 
ие {о ассеѕѕ уоцг даѓа мтеп уои ѕѓагї уоиг сотриќег. 


Е и5 ШИШИШИ 55 


Сопйгт: 


А УМагпіпд: Үои млоп Бе аЫе їо ѕуісһ Бебмееп Кеубоага Ігуоиїѕ (тот {Пе деғаџіё опе) меп 
уои десгурї уоиг аіѕк5 аЁег па. 


| Сапсе| | Заме Раѕѕрһгаѕе 


Рис. 23.4. Шифрование симметричным ключом в дистрибутиве Гедога 


Если вы выберете этот параметр шифрования, то при каждой загрузке системы 
нужно будет вводить пароль симметричного ключа. На рис. 23.5 показано, как 
ЭТО ВЫГЛЯДИТ. Это защитит корневой раздел, если диск, на котором он находится, 
будет украден. 
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_ ширины 


Рис. 23.5. Запрос пароля симметричного ключа шифрования при загрузке 


Если вы получили систему с зашифрованным диском, применив привилегии 
суперпользователя, то можете задействовать команды 1\%$ и сгурёѕе+ир и файл 
/еїс/сгур+ар. В следующем примере команда 1\$ отображает все логические тома, 
находящиеся в данный момент в системе, и их базовые имена устройств (обзор раз- 
личных команд ГУМ см. в главе 12 «Управление дисками и файлами»): 


# 105 -о де\м1сез 
Рреуісеѕ 
/ае\у/таррег/1ик$-6099+66е-9е56-425+-91аб-44+129469+456 (56) 
/аем/таррег/1чк$-6099+66е-9е56-425+-91а6-44+129а69+46 (0) 


В этой системе обратите внимание на то, что имена базовых устройств начина- 
ются с 1ик5. Это говорит о том, что для шифрования жесткого диска был исполь- 
зован стандарт пих Опібеа Кеу Ѕесир (10К$). 


ПРИМЕЧАНИЕ 


В Ибити по умолчанию не установлена команда №5. Чтобы установить ее, введите команду ѕийо арї-деї па! 
№т2 в командной строке. 


Зашифрованные логические тома монтируются во время загрузки с помощью 
информации из файла /еЕс/+з%аЬ. Однако содержимое файла /ес/сгурі+ар, ко- 
торое используется для запроса пароля во время загрузки, будет расшифровывать 
записи файла /еёс/#ѕ+ар в порядке их монтирования. Это продемонстрировано 
в следующем коде. Обратите внимание на то, что имена 1икѕ совпадают с именами, 
перечисленными командой 1\$ в предыдущем примере: 


# саї /ефс/сгуреаь 
10кѕ5-0699+рре-де56-425+#-91а6-44+129а69#46 
ЦиТО=6099+66е-9е56-425+-91а6-44+129469+46 попе 


Можете применить команду сгурёѕе+ир, чтобы получить больше информации 
о зашифрованных томах своей системы Глтих. В следующем примере параметр 
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ѕ+аёиѕ используется вместе с именем устройства 1икѕ для определения дополни- 
тельной информации: 
# сгурезефир ѕ+аёиѕ 1иК$-6099+6Бе-0е56-425+-91а6-44+129а69+46 
/аем/таррег/1ик$-6099+66е-0е56-425+-91а6-44+129а6 9+4 
15$ асііме апа 1$ іп иѕе. 
Туре: ШОКЅ51 
с1рпег: аеѕ-хеѕ-р1аіпб4 
Кеу$17е: 512 145 
Че\у1се: /аеу/ѕЯаз 
оҒҒѕеё: 4096 зесфог$ 
$17е: 493819904 зесфог$ 
поае: геаа/мгіёе 


Шифрование каталога Шпих 


Для шифрования в системе Ііпих можете использовать утилиту еспурі#5. 
Она не является типом файловой системы, как можно подумать, судя по названию. 
Это совместимая с РОЅІХ утилита, которая позволяет создавать слой шифрования 
поверх любой файловой системы. 

Утилита есгуре#ѕ по умолчанию не установлена в Еедога и недоступна в КНЕІ. 
Чтобы установить ее в дистрибутиве Еейога, используйте команду ап+ іпѕёа11 
есгур++ѕ-иџ+115. Если утилита не установлена в системе ОеБап, примените команду 
ѕидо ар*-5е* іпѕ&а11 есгурі-и+115. 


СОВЕТ 


Поскольку утилита есгуріѕ применяется для шифрования, распространенная ошибка — ставить букву п после бу- 
квы е в синтаксисе есгуріѕ. Если вы получили ошибку при использовании утилиты есгурїѕ, убедитесь, что случай- 
но не написали епсгур. 


В следующем примере у пользователя јоһпаӣое будет подкаталог, зашифрован- 
ный с помощью утилиты есгур*+$. Прежде чем зашифровать каталог, убедитесь, 
что в нем нет никаких файлов. Если они там есть, переместите их в безопасное 
место до завершения шифрования. Если вы этого не сделаете, то не сможете полу- 
чить к ним доступ в дальнейшем. 

Теперь, чтобы зашифровать каталог /поте/уонпаое/5есге*, примените команду 
тоип*. Вы должны обладать правами суперпользователя для монтирования и раз- 
монтирования зашифрованного каталога в этом методе. Посмотрите на команду 
тоип* в следующем примере. Она похожа на обычную команду тоип*, за исклю- 
чением того, что используется тип раздела есгур*+5. Элемент для монтирования 
и его точка монтирования — это один и тот же каталог! Вы буквально шифруете 
каталог и монтируете его на себя. Другое необычное отличие этой команды тоип* 
заключается в том, что она запускает утилиту есгурї+ѕ, которая задает несколько 
интерактивных вопросов: 


# тоипЕ - есгурЕ$ /һоте/јоһпдое/Ѕесгеё /поте/уоппаое/$есгее 
Ѕе1есі Кеу +уре фо изе Фог пем1у сгеа+еа +11ез: 
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1) Е5р1 
2) раѕѕрһгаѕе 
3) рксѕ11-һе1рег 
4) орепѕ51 
Ѕе1есїіоп: 2 
Раѕѕрһгаѕе: ЖЖжжЖЖЖЖЖЖЖ 
Ѕе1есі сірһег: 
1) аеѕ: Б1осКк$1те = 16; 
тіп Кеу$17е = 16; тах Кеу$1те = 32 (1оайеа) 
2) Б1Іом+Ғіѕһ: Б1осКѕіле = 16; 
тіп Кеу$17е = 16; тах Кеу$1те = 56 (по 1оайеа) 
3) ӣе5ѕ3 ейе: Б1осК$1те = 8; 
тіп Кеуѕіле = 24; тах Кеу$1те = 24 (по 1оайеа) 
4) ©моғіѕһ: Б1оскѕіғе = 16; 
тіп Кеуѕіле = 16; тах Кеу$1те = 32 (по 1оайеа) 
5) саѕ+6: Б1осК$17е = 16; 
тіп Кеу$17те = 16; тах Кеуѕіле = 32 (поё 1оайеа) 
6) саѕ+5: Б1оскѕіхғе = 8; 
тіп Кеу$17е = 5; тах Кеуѕіғе = 16 (пої 1оааеа) 
Ѕе1есііоп [аеѕ]: 1 
Ѕе1есі Кеу Ббу+еѕ: 
1) 16 
2) 32 
3) 24 
Ѕе1есііоп [16]: 16 
Епаб1е р1аіпёехі раѕѕ&һгоиеһ (у/п) [п]: п 
Епаб1е Ғі1епате епсгурёіоп (у/п) [п]: п 
Аетрёіпв Фо топе м1 {Пе Ғо110оміпе ор+іопѕ: 
есгур#ѕ ип1іпк 5185 
есгурЕ#ѕ кеу БуФеѕ=16 
есгур#ѕ сірһег=аеѕ 
есгурі#ѕ 519=7099308149610е67 
МАКМІМС: Ваѕеа оп һе сопфеп*$ оф [/гооЁ/.есгурі#5/51ір-сасһе.їхі] 
і 1оокѕ 1іке уои һауе пемег тоип%еа міёһ &һіѕ Кеу 
Бефоге. Тһіѕ сои1а теап Ёһа+ уои һауе +уреа уоиг 
раѕѕрһгаѕе мгопе. 


Мои1а уои 1іке +о ргосееа мі+һ {Ве тоипё (уеѕ/по)? : уеѕ 
Мои1а уои 1іке +о аррепа $15 [7099368449610е67] +о 

[/ гооЁ/ .есгурЕ+#5/5ір-сасһе.хі] 

іп огаег Фо ауоіа +һіѕ магпіпе іп &һе Фифиге (уеѕ/по)? : уеѕ 
Ѕиссеѕѕ#и11у аррепӣеа пем ѕір Фо иѕег ѕір сасһе +11е 
Моип+еа есСгуріЕ+#ѕ 


Утилита есгур#ѕ позволяет: 


выбрать тип ключа; 
задать кодовую фразу; 
выбрать шифр; 


указать размер ключа (в байтах); 
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© включить или отключить передачу простого текста; 


® включить или отключить шифрование имени файла. 


Она также предупреждает вас, когда вы впервые монтируете этот зашифрован- 
ный каталог, потому что ключ ранее не использовался. Утилита позволяет приме- 
нить цифровую подпись к смонтированному каталогу, так что, если вы смонтируете 
его еще раз, она просто смонтирует каталог и не потребует парольной фразы. 


СОВЕТ 


Запишите параметры, которые устанавливаете при первом монтировании папки есгурїѕ. При повторном монти- 
ровании папки они вам понадобятся. 


Чтобы убедиться, что зашифрованный каталог теперь смонтирован, можете 
снова применить команду тмоип*. В следующем примере используется команда 
точит, а затем передается в команду вгер для поиска каталога /һоте/јоһпӣое/Ѕесгеї. 
Как видите, каталог монтируется с типом есгур+#: 


# тоипЕ | вгер /поте/уоппдое/$есге* 


/һоте/јоһпаое/Ѕесге оп /поте/)ойпаое/5$есге{ Фуре есгурЕ#5 
(гм, ге1абіте,есгур#ѕ 519=7099308149610е67 ,есгурі#5 сірһег=аеѕ, 
есгурі#ѕ _ Кеу Буёеѕ=16,есгурі#5 ип1іпк_51івѕ) 


До сих пор вы не видели, как выглядит смонтированный и зашифрованный 
каталог. В приведенном далее примере файл пму_зесге*_+11е копируется в заши- 
фрованном виде. Пользователь јоһпаое по-прежнему может применять команду 
са+ для отображения файла в виде обычного текста. Файл автоматически расшиф- 
ровывается типом есгур\ $: 
$ ср ту_есгее_+11е Ѕесге+ 


$ са /һоте/јоһпдое/Ѕесге/ту ѕесгеЁ_Ғі1е 
ЅҺҺ... ІЕ'5 а ѕесге+. 


Суперпользователь может применить команду саї для отображения файла 
в текстовом виде: 


# са /поте/уоппаое/5$есге*/ту_зесге{_+11е 
ИИ... ІЕ'5 а ѕесге+. 


Однако после размонтирования зашифрованного каталога с помощью команды 
итоипе файлы больше не расшифровываются автоматически. Содержимое файла 
пу _ѕесге_Ғі1е теперь стало полной тарабарщиной, и его не может прочитать даже 
суперпользователь: 


# итоип /һоте/јоһпаое/Ѕесгеё 


Таким образом, утилита есгурі#ѕ позволяет создать в файловой системе точку 
для быстрого шифрования и расшифровки файлов. Однако после того, как этот 
каталог больше не монтируется как тип есгур++$, файлы оказываются защищен- 
ными и не могут быть расшифрованы. 
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СОВЕТ 


Как обычный пользователь, вы можете применить команды есгурїбѕ-ѕеїир-ргіуаќе и есгурі-тоипї-ргімаїе для 
настройки частной криптографической точки монтирования. 


Шифрование файла Шпих 


Самый широко распространенный инструмент для шифрования файлов в системе 
ТПіпих — утилита ОрепРСР СМО Ргіуасу Сиагӣ, вре. Ее гибкость и разнообразие 
опций, а также то, что она установлена по умолчанию в большинстве дистрибути- 
вов Глпих, добавляют ей популярности. 


ВНИМАНИЕ! 


Если ваша организация работает со сторонними облачными хранилищами, вы должны знать, что некоторые из 
этих компаний, например ОгорБох, не шифруют файлы до тех пор, пока они не будут получены. Это означает, что 
компания имеет ключи, необходимые для расшифровки файлов, и может оставить данные вашей организации 
незащищенными. Шифрование файлов в системе іпих перед их отправкой в облако усиливает их защиту. 


В системе Глпах вы можете использовать и другие инструменты криптографии 
для шифрования файлов. Как и утилита ере, многие из них позволяют вам сделать 
гораздо больше, чем просто зашифровать файл. Далее приведены некоторые попу- 
лярные инструменты криптографии пих, с помощью которых можно шифровать 
файлы. 


® аезсгурх. Использует шифр симметричного ключа ВупЧае|, называемый также 
АЕ$. Этот сторонний инструмент ЕО$$ можно загрузить на ммм.аеѕсгіурі.сот. 


® Бсгуре. Применяет симметричный ключ шифра Р/ос/їѕћ. По умолчанию не уста- 
новлен. После установки 6сгур* будут доступны справочные страницы: 
" для Еедога (недоступно в ВНЕТ.) — ушт 1п$%а11 Бсгурт; 
= для ОБипба — ѕидо арё-веё 1п5%а11 Бсгурх. 

® ссгурї. Использует шифр симметричного ключа К]п9ае|, называемый также 
АЕ$. Был создан для замены стандартной утилиты Отих сгур* и не установлен 
по умолчанию. После установки ссгур* будут доступны справочные страницы: 
= для Еедога (недоступно в ВНЕГТ.) — уим 1п$%а11 ссгур*; 
= для ОБапба — ѕидо арё-веё іпѕ+а11 ссгур*. 

® вр. Может использовать либо асимметричные пары ключей, либо симметрич- 
ный ключ. Установлен по умолчанию и является предпочтительным инстру- 
ментом криптографии для серверов Ііпих. Применяемый по умолчанию шифр 


задается в файле ере. соп+. Есть справочные страницы, также можно использо- 
вать команду іп#о пире. 


Имейте в виду, что это лишь наиболее популярные инструменты. Кроме того, 
помните, что многие из них могут применяться не только для шифрования файлов. 
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Шифрование Ипих с помощью различных инструментов 


Вы можете применить криптографию, определяемую как акт написания или 
генерирования кодов, предназначенных для хранения секретов, практически 
ко всему содержимому в Глпих. Помимо файловых систем, каталогов и файлов, 
можно шифровать резервные копии, архивные файлы, сетевые подключения 
и многое другое. 

В табл. 23.2 перечислены некоторые из инструментов криптографии Тлпих 
и указано, что они делают. Если хотите увидеть полный список инструментов 
криптографии, установленных в вашем дистрибутиве Глпих, введите тап -К сгур* 
в командной строке. 


Таблица 23.2. Инструменты криптографии в Шпих 


Инструмент Описание 


РЮиріісіќу Шифрует резервные копии. Чтобы установить инструмент 
в дистрибутиве Ее4ога, введите команду ушт шзбаП Ч4ирПсКу. Чтобы 
установить в ОБипќи, введите команду ѕио арі-веѓ шзбаП аиріісісу 


5р5-р Использует программу СМО Риуасу СпагА для шифрования или подписи 
файлов в архиве. Устанавливается по умолчанию 


Орепѕ5] Инструмент, реализующий протоколы Ѕесиге ЅосКкесѕ Гауег ($51) 
и Тгапѕрогі Гауег Ѕесигіќу (ТІ.5). Эти протоколы требуют шифрования. 
Устанавливается по умолчанию 


Ѕеаһогѕе Программа шифрования ключей СМО Ргіуасу Сиага. Установлена по 
умолчанию в дистрибутиве ОЪипќи. Чтобы установить в дистрибутивах 
Еедога и ВНЕТ, введите команду упт за ѕеаһогѕе 


$56 Шифрует удаленный доступ по сети. Устанавливается по умолчанию 


7ірсІоак Шифрует записи в 21Р-файле. Устанавливается по умолчанию 


В системе Шіпих инструментов криптографии много, как и прочих элементов. 
Это обеспечивает гибкость и разнообразие, необходимые для реализации стандар- 
тов криптографии в вашей организации. 


Шифрование с помощью СУ]1-инструментов 


Окно Раѕѕуогаѕ апа Кеуз (Пароли и ключи) предоставляет средства просмотра 
ключей и паролей и управления ими с рабочего стола СЧОМЕ. Это окно можно 
запустить, выбрав соответствующий значок на экране Асімііеѕ (Приложения) и вы- 
полнив команду ѕеаһогѕе. Откроется окно, в котором можно изменить: 


® пароли. Когда вы заходите на сайт из браузера Сһготішр или Сһготе и вводите 
имя пользователя и пароль (и сохраняете последний), он хранится в вашей си- 
стеме для следующего посещения этого сайта. Выберите под полем для пароля 
строку с логином для входа в систему, чтобы просмотреть каждые из сохранен- 
ных имен пользователей и паролей; 
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® сертификаты. Вы можете просмотреть сертификаты, связанные с хранилищами 
Споте2 Кеу Збогаре, Оѕег Кеу Збогабе, Зузбет Тгиѕё и Оеѓаше Тгиз6; 


® ключи РСР. Можете просмотреть ключи СРС, выбрав строку СпиРС Кеуз; 


® протокол Ѕесиге Ѕһће11. Вы можете создавать открытые и закрытые ключи 
Ореп$5$Н, которые, действуя как пароли для аутентификации, позволяют вхо- 
дить в удаленные системы с помощью $51, ѕср, гѕупс, 5 ёр и связанных с ними 
команд. Выберите строку ОрепЅ5Н Кеуз, чтобы просмотреть все созданные ключи. 
(См. раздел об аутентификации на основе ключей в главе 13, чтобы узнать, как 
создавать такие ключи.) 


Еще один мощный инструмент безопасности, доступный в [лпих, — это модули 
РАМ. В следующих разделах этой главы рассматриваются основные концепции 
РАМ ито, как можно использовать этот инструмент для повышения безопасности 
системы Шпих. 


Безопасность Мпих при помощи РАМ 


Подключаемые модули аутентификации (Рава е Ашепіісайоп Моашеѕ, РАМ) 
были созданы компанией Ѕип Місгоѕуѕќетѕ и первоначально реализованы в опе- 
рационной системе Зо[аг15. Проект Г4лпях-РАМ начался в 1997 году. Сегодня боль- 
шинство дистрибутивов Глпих используют РАМ. 

РАМ упрощают управление аутентификацией. Помните, что аутентификация 
(см. главу 22 «Базовые методы обеспечения безопасности») — это процесс опре- 
деления того, что субъект (он же пользователь или процесс) является тем, за кого 
себя выдает. Его иногда называют также идентификацией и аутентификацией. 
РАМ — это централизованный метод обеспечения аутентификации для системы 
Тлпих и ее приложений. 

Существуют приложения, написанные под РАМ. Не нужно переписывать и пере- 
компилировать приложение с поддержкой РАМ, чтобы изменить его параметры 
аутентификации. Все необходимые изменения вносятся в файл конфигурации 
РАМ для приложений, поддерживающих РАМ. Таким образом, управление аутен- 
тификацией для этих приложений централизовано и упрощено. 

Вы можете проверить, являются ли конкретное приложение или утилита 
Тіпих подходящими для РАМ. Проверьте, скомпилированы ли они с библио- 
текой РАМ 11Ьрам. ѕо. В следующем примере приложение сгопёарь проверяется 
на связь с РАМ. Команда 199 проверяет зависимости общей библиотеки файла. 
Чтобы было проще, для поиска библиотеки РАМ используется команда вгер. 
Как видите, сгоп+ар в этой конкретной системе Глпих знает о существовании 
РАМ: 


# 19а /иѕг/Ьіп/сгопёаь | вгер рат 
1іррат. 50.0 => /11664/116рат.50.0 (0х00007Ғбее19сеөөе) 
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Перечислю преимущества применения РАМ в системе [іпих. 


® Упрощенное и централизованное управление аутентификацией администра- 
тором. 


® Упрощенная разработка приложений, поскольку разработчики могут писать 
приложения с использованием библиотеки РАМ вместо создания собственных 
процессов аутентификации. 


® Гибкость аутентификации: 


= разрешение или запрет на доступ к ресурсам на основе традиционных кри- 
териев, например идентификация; 


= разрешение или запрет на доступ на основе дополнительных критериев, на- 
пример ограничения по времени суток; 


= установка предметных ограничений, например использование ресурсов. 


Хотя преимущества РАМ упрощают управление аутентификацией, на самом 
деле модули работают не так просто. 


Процесс аутентификации с помощью РАМ 


Когда субъект (пользователь или процесс) запрашивает доступ к приложению или 
к утилите с поддержкой РАМ, для завершения процесса аутентификации субъекта 
задействуются два основных компонента: 


® файл конфигурации приложения с поддержкой РАМ; 


© РАМ, используемые файлом конфигурации. 


Каждый файл конфигурации приложения с поддержкой РАМ находится 
в центре процесса. Файлы конфигурации РАМ вызывают определенные модули 
для выполнения необходимой аутентификации. РАМ аутентифицируют субъ- 
ектов по данным авторизации системы, например по централизованной учетной 
записи пользователя с помощью ГРАР (см. главу 11 «Управление учетными 
записями»). 

Гіпих поставляется со многими приложениями, которые поддерживают РАМ, 
с уже установленными нужными файлами конфигурации и модулями. Если у вас 
есть особые потребности в аутентификации, скорее всего, вы найдете модуль РАМ, 
предназначенный для этого. Но прежде, чем начать настраивать РАМ, нужно боль- 
ше узнать о том, как они работают. 

РАМ предпринимают ряд шагов с использованием модулей и файлов конфигу- 
рации для обеспечения правильной аутентификации приложения. 


1. Субъект (пользователь или процесс) запрашивает доступ к приложению. 


2. Файл конфигурации РАМ приложения, содержащий политику доступа, откры- 
вается и считывается. Политика доступа устанавливается с помощью списка 
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всех РАМ, которые будут применяться в процессе аутентификации. Этот список 
называется стеком. 


3. Модули РАМ в стеке вызываются в том порядке, в котором они перечислены. 

4. Каждый РАМ либо успешно выполняется, либо нет. 

5. Стек продолжает считываться по порядку, и он не обязательно будет останав- 
ливаться после одного сбоя. 


6. Результаты состояния всех РАМ объединяются в единый общий результат 
успеха или неудачи аутентификации. 


Как правило, если один РАМ возвращает состояние сбоя, доступ к приложению 
будет запрещен. Однако это зависит от параметров файла конфигурации. Большин- 
ство файлов конфигурации РАМ находятся в файле /еёс/рат.а. Общий формат 
файла конфигурации РАМ выглядит так: 


сопфтехЕ сопёгоі ад РАМ тодийе [ тоаийе ор+іопѕ |] 


Контексты модулей РАМ 


Модули РАМ имеют стандартные функции, предоставляемые различными 
службами аутентификации. Эти стандартные функции внутри РАМ можно раз- 
делить на типы функций, называемые контекстами. Контексты можно назвать 
также интерфейсами модулей или их типами. В табл. 23.3 перечислены разные 
контексты РАМ и указано, какой тип службы проверки подлинности они предо- 
ставляют. 


Таблица 23.3. Контексты РАМ 


Контекст Описание службы 


ацсћ Предоставляет службы управления аутентификацией, например проверку 
паролей учетных записей 


ассоипі Предоставляет службы проверки учетных записей, например ограничение 
доступа по времени суток 


раѕѕуога Управляет настройками паролей учетных записей, например ограничивает 
длину пароля 


Флаги управления РАМ 


В файле конфигурации РАМ флаги управления используются для определения 
общего состояния, которое возвращается приложению. Флаг управления может 
быть одним из следующих. 


® Простое ключевое слово. Единственная проблема здесь заключается в том, что 
соответствующий модуль РАМ возвращает статус Ғаі1еа или ѕиссеѕѕ. Как об- 
рабатываются эти статусы, смотрите в табл. 23.4. 
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Таблица 23.4. Флаги управления РАМ и обработка ответов 


Флаг Описание 


геаште4 В случае сбоя возвращает приложению статус сбоя после того, как остальные 
контексты в стеке будут запущены. Например, необходимый элемент 
управления может привести к сбою входа в систему, если введен неверный 
пароль. Но пользователь может не знать о сбое до тех пор, пока не введет пароль, 
так как скрыт факт, что причиной сбоя было неправильное имя пользователя 


геди1$ Це В случае сбоя возвращает приложению статус сбоя немедленно, не запуская 
остальную часть стека. (Будьте осторожны при размещении этого элемента 
управления в стеке.) Например, необходимый элемент управления может 
потребовать проверки подлинности на основе ключа, которая немедленно 
завершится неудачей, если действительный ключ не будет предоставлен. 
В этом случае он может потерпеть неудачу, даже не запросив имя 
пользователя/пароль 


зи йсіепі В случае сбоя состояние модуля игнорируется. В случае успеха статус успеха 
немедленно возвращается приложению без запуска остальной части стека. 
(Будьте осторожны при размещении этого элемента управления в стеке) 


орйопа| Этот флаг управления важен только для окончательного общего состояния 
возврата успеха или неудачи. Это как тайм-брейк. Когда другие модули 
в стеке конфигурационных файлов возвращают статусы, которые не являются 
четкими статусами сбоя или успеха, статус этого модуля используется для 
определения окончательного состояния. В тех случаях, когда другие модули 
в стеке возвращают четкий отказ или успех, этот статус игнорируется 


шс4е Получите все статусы из стека этого конкретного файла конфигурации РАМ, 
чтобы включить их в общий статус возврата этого стека. Это как если бы весь 
стек из файла конфигурации теперь находился в этом файле конфигурации 


ѕирѕќаск Аналогичен флагу управления іпсІийе, за исключением того, как определенные 
ошибки и оценки влияют на основной стек. Он вынуждает стек файлов 
конфигурации действовать как подстек основного стека. Таким образом, 
определенные ошибки и оценки влияют только на него, а не на основной стек 


ө Ряд действий. Возвращаемый статус модуля обрабатывается с помощью ряда 
действий, перечисленных в файле. 


В табл. 23.4 показаны различные флаги управления ключевыми словами и их от- 
веты на возвращаемое состояние модуля. Обратите внимание на то, что некоторые 
флаги управления должны быть аккуратно добавлены в стек файла конфигурации. 
Некоторые флаги вызывают немедленную остановку процесса аутентификации. 
Флаги просто управляют тем, как результаты состояния РАМ объединяются 
в единый общий результат. В таблице показано, как объединяются эти результаты 
состояний. 

Вы должны знать, что РАМ возвращают не только состояния успеха или неудачи, 
но и гораздо больше других результатов состояния. Например, модуль может воз- 
вращать код состояния РАМ_АССТ_ЕХРТВЕР, что означает, что срок действия учетной 
записи пользователя истек. Это состояние относится к неудачному. 
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Модули РАМ 


РАМ на самом деле представляет собой набор модулей общей библиотеки (ОТ.Т-- 
файлов), хранящихся в файле /иѕ"/11664/ѕесигі+у (64-разрядный). Вы можете 
просмотреть список установленных в вашей системе модулей РАМ, введя команду 
15 /ч5г/11664/ зесиг1у/рам* . 50. 


ПРИМЕЧАНИЕ 


В дистрибутиве Џбипќи, чтобы найти имеющиеся в системе модули, введите команду ѕийо ћпа / -пате рат*.50. 


Система Глпих включает в себя много необходимых модулей РАМ, которые 
устанавливаются по умолчанию. Если вам действительно нужен неустановлен- 
ный модуль, скорее всего, его уже создал кто-то другой. Найти различные модули 
можно здесь: 


© ммм. орепмиа|.сот/рат; 
© риѕгсға.дпи.огд.иа/ѕойумаге/рат-тоаишіеѕ/аоуупіоаа.һіт!; 


® ресурсы с общими сведениями о файлах конфигурации системных событий 
РАМ. 


До сих пор основное внимание уделялось приложениям с поддержкой РАМ 
и их файлам конфигурации. Однако другие системные события, например вход 
в систему Глпах, также используют модули РАМ. То есть и эти события имеют 
свои файлы конфигурации. 

Далее приведена часть списка файлов конфигурации РАМ. Обратите внимание 
на то, что существуют файлы конфигурации приложений с поддержкой РАМ, на- 
пример сгопа, и файлы конфигурации системных событий, такие как ро51о84п-ас: 


# 15 -1 /ефс/рат.а 
©оёа1 204 
-Гги-г--Г--. 1 гООф гоо 272 №\у 15 10:06 ата 


-ги-г--Г--. 1 гоо гоої 232 Зап 31 12:35 сопҒір-иі1 
-Ги-г--Гг--. 1 гоо гоо 293 Осі 26 23:10 сгопа 


-ги-г--Г--. 1 гоо гоої 109 Ғер 28 01:33 роѕі1оріп 


-ги-г--Г--. 1 гоо гооф 981 Ғер 28 01:33 ѕуѕёет-аиЁһ 


Вы можете изменить эти файлы конфигурации системных событий для удов- 
летворения конкретных нужд вашей организации в том, что касается безопасности. 
Например, можно изменить файл ѕуѕёет-аи&ћ, чтобы принудительно применить 
определенные ограничения для пароля. 
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ВНИМАНИЕ! 


Неправильное изменение или удаление файлов конфигурации системных событий РАМ может привести к блоки- 
ровке системы. Убедитесь, что вы протестировали любые изменения в виртуальной или тестовой среде, прежде 
чем вносить их в рабочие серверы Ипих. 


Эти файлы конфигурации системных событий РАМ работают точно так же, как 
файлы конфигурации приложений с поддержкой РАМ. Они имеют один и тот же 
формат, используют один и тот же синтаксис и вызывают модули РАМ. Однако 
многие из этих файлов символически связаны (см. главу 4 «Файловая система»), 
поэтому они требуют выполнения дополнительных действий при внесении в них 
изменений. Инструкции для этого будут рассмотрены далее в этой главе. 


СОВЕТ 


Многие файлы конфигурации РАМ имеют связанные сними страницы руководства. Например, чтобы узнать боль- 
ше о модуле рат_ипіх, введите тап рат_ипіх в командной строке вашего дистрибутива Еедога и КНЕІ. Докумен- 
тация о файлах модулей находится и в каталоге /иѕг/ѕһћаге/йос/рат-%/хїѕ/. 


Несмотря на то что пих поставляется со множеством приложений, поддер- 
живающих РАМ, различными файлами конфигурации и уже установленными 
модулями, нельзя просто надеяться на то, что модули будут настроены сами по 
себе. Для управления РАМ необходимы определенные действия администратора. 


Управление модулями РАМ в системе Шіпих 


Задачи администратора РАМ в системе Глпих минимальны. Необходимо убедиться, 
что РАМ правильно реализованы, и внести коррективы в соответствии с потреб- 
ностями безопасности конкретной организации. 

Кроме того, модули не только реализуют аутентификацию, как было описано 
ранее. Они могут также ограничивать ресурсы и время доступа, обеспечивать пра- 
вильный выбор пароля ит. д. 


Управление файлами конфигурации приложений 
с поддержкой РАМ 


Вы должны просмотреть файлы конфигурации РАМ для приложений и утилит, 
поддерживающих РАМ, чтобы убедиться, что их процесс аутентификации соот- 
ветствует желаемому процессу аутентификации вашей организации. Матрица 
контроля доступа (см. главу 22 «Базовые методы обеспечения безопасности») 
и информация о РАМ, представленная в этой главе, должны помочь вам выполнить 
проверку файлов конфигурации РАМ. 
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Каждое приложение, поддерживающее РАМ, должно иметь собственный файл 
конфигурации РАМ. Каждый файл конфигурации определяет, какие именно 
модули применяются для данного приложения. Если файла конфигурации не суще- 
ствует, то в ходе работы этого приложения может появиться дыра в безопасности, 
которой может воспользоваться злоумышленник. В качестве меры предосторож- 
ности РАМ поставляются вместе с файлом конфигурации оќћег. Если приложение, 
поддерживающее РАМ, не имеет файла конфигурации РАМ, оно по умолчанию 
применяет файл конфигурации о*Вег. 

Вы можете проверить, есть ли в вашей системе Гіпих файл конфигурации /ес/ 
рат. ӣ/оёћег, с помощью команды 1$. В следующем примере показано, что файл 
конфигурации /еёс/рат. а/оёһег РАМ действительно существует в этой системе: 


$ 15 /еїс/рат.а/о+һег 
/еёс/рат.а/оёћег 


Файл конфигурации РАМ /еёс/рат.ӣ/оёћег должен запрещать любой доступ, 
что с точки зрения безопасности называется Ітр1ісіє репу (Неявный запрет). 
В сфере компьютерной безопасности Ітр1ісії репу означает: если определенные 
критерии не соблюдены явно, то доступ должен быть запрещен. В этом случае, если 
для приложения с поддержкой РАМ не существует файла конфигурации, доступ 
к нему будет запрещен. Далее показано содержимое файла /еёс/рат.а/оёћег: 


$ сае /е+с/рат.а/о&һег 


#%РАМ-1.0 

аиёћ геди1геа рат _ депу. $0 
ассоипї гедиігеа рат депу. ѕо 
раѕѕмога гедиігеа рат депу. ѕо 
ѕеѕѕіоп гедиігеа рат депу. ѕо 


Обратите внимание на то, что в примере перечислены все четыре контекста 
РАМ: аи+ћ, ассоипё, раззмога и ѕеѕѕіоп. Каждый контекст использует нужный флаг 
управления и модуль рат _ епу. ѕо. Модуль рат епу. зо применяется для запрета 
доступа. 

Если файла конфигурации РАМ для приложения нет, то, даже при наличии фай- 
ла конфигурации о*Пег, его необходимо создать. Этот пункт входит в контрольный 
список аудита модулей. Вы также должны просмотреть свой файл конфигурации 
оћег в системе Глпиах, чтобы убедиться, что он применяет Ітр11ісії репу. 


Управление файлами конфигурации РАМ 


Как и файлы конфигурации приложений и утилит с поддержкой РАМ, файлы 
конфигурации системных событий РАМ должны проверяться с помощью матрицы 
контроля доступа вашей организации. Однако для внесения в эти файлы любых 
изменений необходимо предпринять дополнительные действия. 

Далее вы узнаете, как в вашей системе Глпих настроить с помощью РАМ специ- 
альные требования безопасности, например, ограничения времени входа в учетную 
запись. Многие специальные настройки требуют внесения изменений в файлы 
конфигурации системных событий РАМ, например в файл /еёс/рат. 4/ѕуѕет-аиёћ. 
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Проблема с внесением изменений в некоторые из файлов конфигурации систем- 
ных событий РАМ заключается в том, что утилита ацИ5е1ес+ может переписать 
эти файлы и удалить любые локально внесенные изменения. К счастью, каждый 
файл конфигурации РАМ, который подвергается такому риску, записывается 
в строке комментария внутри. Используя команду вгер, вы можете быстро найти 
файлы конфигурации РАМ, имеющие ту же потенциальную проблему: 

# вгер "аиёһѕе1есё" /ефс/рат.а/* 

Ғіпрегргіпё-аиһћ:# бепегафеа Бу аи+ћѕе1есї оп Моп Осі 21 19:24:36 
2019 

раѕѕмога-аиёһћ:# бепегаёеа Бу аиёһѕе1есі оп Моп Осі 21 19:24:36 2019 
роѕ+1оріп:# бепега+еа Бу аиёһѕе1есі оп Моп Осі 21 19:24:36 2019 
ѕтагісага-аиёћ:# бепега+еа Бу аиһѕе1есі оп Моп Ос+ 21 19:24:36 2019 
ѕуѕ+ет-аиЁһ:# бепегаёеа Бу аиёһѕе1есі оп Моп Осі 21 19:24:36 2019 


Эти файлы конфигурации системных событий РАМ используют символические 
ссылки (см. главу 4 «Файловая система»). Например, в дистрибутиве Еедога вы 
можете видеть, что файл ѕуѕет-аиёһћ на самом деле является символической ссыл- 
кой, указывающей на файл /еёс/аиёһѕе1ес+/ ѕуѕёет-аи&ћ. Первый символ в правах 
безопасности файла — это буква 1. Это говорит о том, что файл связан с другим. 
Символ -> показывает, что файл символически связан с другим файлом: 

# 15 -1 ѕ5уѕ+ет-аиёһ 


Тгихгихгих. 1 гоо гоо 27 Осі 1 15:24 ѕуѕ+ет-аиёһ -> /еїс/ 
аиёћѕе1есі/ ѕуѕёет-аић 


ПРИМЕЧАНИЕ 


В некоторых дистрибутивах Ипих утилита рат-аиѓћ-сопӣд похожа на утилиту аиќћѕе[есї, так как тоже умеет 
перезаписывать файлы конфигурации. Это может произойти, если в командной строке ввести команду рат- 
аи -сопйд --ѓогсе. Прочтите справочную страницу тап рат-аиќћ-сопћо, чтобы больше узнать об этой утилите, если 
она установлена в вашей системе. 


Ограничение ресурсов с помощью модулей РАМ 


Управление ресурсами — это задача не только системного администрирования, 
но и обеспечения безопасности. Установка ограничений ресурсов в системе Гіпих 
поможет вам избежать многих неблагоприятных ситуаций. Например, действие 
таких вредоносных программ, как іогк-бомбы, можно предотвратить, ограничив 
количество процессов, которые может создать один пользователь. Еогк-бомба 
возникает, когда процесс рекурсивно порождает один процесс за другим до тех 
пор, пока не будут израсходованы все системные ресурсы. Еогк-бомбы могут быть 
злонамеренными или случайными, то есть возникшими из-за некачественной раз- 
работки программного кода. 

Модуль РАМ рат-1іті+ѕ для установки ограничений ресурсов использует 
специальный файл конфигурации /еёс/ ѕесигіу/1іті+ѕ .соп+. По умолчанию он 
не имеет установленных ограничений ресурсов. Поэтому вам необходимо про- 
смотреть его и установить такие ограничения в соответствии с потребностями 
безопасности вашей организации. 
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ПРИМЕЧАНИЕ 


Файлы конфигурации РАМ находятся в каталогах /ес/рат.4 и /еќс/ѕесигіїу. 


В следующем примере показан файл /еёс/ ѕесигіёу/1іті+ѕ. соп#. Он хорошо 
закомментирован. Необходимо прочитать содержимое этого файла, где подробно 
описан формат и приведены примеры ограничений, которые можно установить: 


$ саї /еїс/ѕесигі+у/1іті+ѕ.сопҒ 

# /еёс/ѕесигіу/1ітіЁѕ.соп# 

# 

#Тһіѕ +11е ѕеѕ һе геѕоигсе 1ітіѕ Ғог {Пе иѕегѕ 1орреа іп уіа РАМ. 
#ТЕ аоеѕ пої аҒҒесі геѕоигсе 1ітіїѕ о+ {Пе ѕуѕ+ет ѕегуісеѕ. 

# 

#А150 пое һа сопҒіригаіоп +11е5 іп /еіс/ѕесигі+у/1іті+ѕ.а 
аігес+огу, 

#иһісһ аге геаа іп а1рһабе+іса1 огӣег, омеггійе һе ѕеїбіпеѕ іп {115 
#Ғі1е іп саѕе һе аота1п 15 Не ѕате ог тоге ѕресі+іс. 


#Еасһ 11пе ӣеѕсгіреѕ а 11114 Ғог а иѕег іп Ёһе Ғогт: 


# 

#<аотаіп> <фуре> <іёетм> <\уа1ие> 

#* 50+ соге е 

#* Вага г55 100090 
#05 идете Вага пргос 20 
#@Ғаси1+у $0 пргос 20 
#@Ғаси1+у Вага пргос 50 
#РЕр Вага пргос ө 
#05+џаеп+ - пах1021п$ 4 


# Епа оф +11е 


Элементы формата 4отат (домен) и ѓуре (тип) нуждаются в дополнительном 
объяснении вдобавок к задокументированному в файле конфигурации. 


© адотаіп (домен). Ограничение применяется к указанным пользователю или 
группе, а если в значении домена указан символ *, то ко всем пользователям. 


® туре (тип). Предел Вага не может быть превышен. Предел зо# может быть пре- 
вышен, но только временно. 


Посмотрите на настройки файла 1111$ .соп+ в примере. В списке указана 
группа преподавателей Ғаси1+у, однако нужно приглядеться к элементу пргос. 
Ограничение пргос устанавливает максимальное количество процессов, которые 
может запустить пользователь. Именно эта настройка предотвращает ѓогк-бомбу. 
Обратите внимание на то, что тип уре установлен в предел пага, таким образом, 
предел в 50 процессов не может быть превышен. Конечно, это ограничение не при- 
меняется, потому что строка закомментирована символом #: 


#@Ғаси1+у Вага пргос 50 
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Настройки предела устанавливаются для каждого входа в систему и действуют 
лишь в течение всего сеанса входа. Злоумышленник может войти в систему не- 
сколько раз, чтобы создать ѓогк-бомбу. Таким образом, стоит также установить 
максимальное количество входов для учетных записей пользователей. 

Максимальное количество входов можно задать для каждого пользователя по 
отдельности. Например, пользователю јоћпаое можно войти в систему пих только 
один раз. Чтобы другие не могли задействовать учетную запись јоһпӣое, установите 
тах10віпѕ его учетной записи в значение 1: 


јоһпаое Вага пах1021п5$ 1 


Чтобы переопределить любые настройки в файле 1414$ . соп+, добавьте файлы 
с именем .соп# в каталог /ефс/зесиг1{у/11т11$. 4. 

Это удобный способ управлять файлом КРМ или другим для добавления и уда- 
ления ограничений, не редактируя сам файл 1111$ . соп. 

Последним шагом в установке ограничений для этого ресурса является обе- 
спечение того, чтобы модуль, использующий файл 111115. соп+, был включен 
в один из файлов конфигурации системных событий РАМ. Модуль РАМ, задей- 
ствующий 1111%$.соп+, называется рат Ііті+ѕ. В приведенном далее примере 
команда вгер проверяет, применяется ли РАМ в файлах конфигурации системных 
событий: 


# егер "рат_11т1%5" /ефс/рат.а/* 


/еёс/рам.а/Ғіпрегргіп-аиЁћ: ѕеѕѕіоп гедиігеа рат 1іміѕ.50 
/еёс/рам.а/раѕѕмога-аиЁћһ : ѕеѕѕіоп геди1геа рат 1іміѕ.50 
/еёс/рам.а/гипиѕег: ѕеѕѕіоп геди1геа рат 1іміѕ.50 
/еёс/ратм.а/ѕуѕет-аиёћ : ѕеѕѕіоп геди1геа рат 1іміѕ.50 


Ограничения по времени доступа к службам и учетным записям не обрабаты- 
ваются файлом конфигурации РАМ /еёс/ѕесигі+у/1ітіёѕ. соп+. Вместо этого они 
обрабатываются файлом +1те . соп#. 


Временные ограничения с помощью модулей РАМ 


Модули РАМ могут заставить всю вашу систему Глпах работать в режиме РАМ. 
Временные ограничения, такие как доступ к определенным приложениям в опре- 
деленное время дня или разрешение входить в систему только в определенные дни 
недели, обрабатываются с помощью модулей. 

Файл конфигурации РАМ, который обрабатывает эти ограничения, находится 
в каталоге /еёс/ѕесигі+у. В следующем примере показан хорошо закомментиро- 
ванный файл конфигурации РАМ /еёс/ѕесигібу/ біте. соп: 


$ саї /еїс/ѕесигі+у/+іте.сопҒ 

# {115 15 ап ехатр1е сопҒівигаћіоп Ғі1е Ғог {Ве рат +іте тойи1е. 1+5 
# зупфах маѕ іпі+іа11у Базе һеауі1у оп {Паф оф +һе ѕһайом раскаре 
(ѕһайом-960129). 
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{Пе зупфах оф +һе 1іпеѕ 1$ аз Ғо110и5: 


+++ 


ѕегуісеѕ ;їЁуѕ; изег$ ; {1те$ 


Я советую вам ознакомиться с содержимым файла +1те . соп+. Обратите вни- 
мание на то, что формат каждой допустимой записи соответствует синтаксису: 
ѕегуісеѕ ; {Еуз;изег$ ; +ітеѕ. Поля разделяются точкой с запятой. Допустимые 
значения полей задокументированы в файле конфигурации +іте. соп. 

Хотя в файле + 1те .соп+ много комментариев, всегда полезно изучить все на 
примере. Например, вы решили, что обычным пользователям следует разрешать 
использовать терминалы только в будние дни (с понедельника по пятницу). 
Они могут войти в систему с 7 утра до 7 вечера по будням. В списке далее указано, 
какие элементы необходимо установить: 


Ф зегу1сез — учетная запись; 

Ф +1у5—* — включает все терминалы; 

Ф циѕег5 — включает всех, кроме суперпользователя ( ! поо№); 
© 


+1те5 — позволяет вход по будням (ма) с 7 утра (0700) до 7 вечера (1900). 


Такая запись в файле +іте. соп+ будет выглядеть следующим образом: 
10211; * ; !гооф ; 40700-19006 


В конце нужно убедиться, что модуль РАМ, применяющий файл ёіте. соп, 
включен в один из файлов конфигурации системных событий РАМ. Модуль РАМ, 
задействующий ёіте. соп+, называется рат_+1те. В примере далее команда вгер 
отображает модуль РАМ, рат _+іте не используется ни в одном из файлов конфи- 
гурации системных событий: 

# ргер "рат +іте" /ефс/рат.4а/* 


соп+15-и{11 : аи В ѕиҒҒісіепїі рат +ітеѕ+атр.ѕо 
сопҒір-и11:5еѕѕ5іоп ор+іопа1 рат +ітеѕ+атр. зо 


Поскольку рат +іте не указан в списке, вы должны изменить файл /еёс/рат. 4/ 
ѕуѕет-аиїћһ, чтобы РАМ мог применить временные ограничения. Файл конфигу- 
рации РАМ ѕуѕёет-аџёћ используется модулями при входе в систему и при изме- 
нении пароля. Этот файл конфигурации проверяет множество элементов, включая 
временные ограничения. 

Добавьте следующее в верхней части раздела ассоип* файла конфигурации: 


ассоипё геди1геа рам_+1те. $0 


Теперь модуль рат біте проверяет ограничения входа, установленные вами 
в файле /еёс/ѕесигі+у/ёіте. соп+. 


ПРИМЕЧАНИЕ 


В дистрибутиве Џбипќи вам необходимо использовать файл /еѓс/рат./соттоп-аиќћ вместо файла ѕуѕќет-аџиќћ. 
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Помните, что ѕуѕёет-аић — это символически связанный файл. Если вы из- 
меняете его, то должны предпринять дополнительные действия, чтобы сохранить 
изменения из утилиты аиёһѕе1ес+. Можете задействовать дополнительные модули 
и файлы конфигурации, чтобы установить еще больше ограничений. Одним из 
важных модулей безопасности является рат_сгаск1ір. 


Использование надежных паролей с помощью РАМ 


При изменении пароля в процесс включается модуль РАМ рат_сгаск116. Модуль 
запрашивает у пользователя пароль и проверяет его надежность по системному 
словарю и набору правил для выявления неудачных вариантов. 


ПРИМЕЧАНИЕ 


Модуль рат _ стасКИЬ установлен по умолчанию в дистрибутивах Еедога и КНЕІ. Для систем ЏБипќи пих он не уста- 
навливается по умолчанию. Поэтому, чтобы получить доступ к модулю рат_ сгаскИЬ в Џбипќи, выполните команду 
ѕидо ар-де іпѕ{а! іюрат-сгасКіїр. 


Используя модуль рат_сгаск1ір, вы можете проверить новый пароль следу- 
ющими вопросами. 
Это словарное слово? 
Это палиндром? 
Это старый пароль с измененным регистром? 
Он похож на старый пароль? 
Он слишком короткий? 
Это перевернутая версия старого пароля? 


Применяет ли он одни и те же последовательности символов? 


Содержит ли он имя пользователя в какой-то форме? 


Чтобы изменить правила, применяемые рат_сгаск116 для проверки новых па- 
ролей, внесите изменения в файл /еіс/рат. а/ѕуѕёет-аи+ћ. Можно подумать, что 
изменения должны быть внесены в файл конфигурации РАМ разма. Однако файл 
/еёс/рат. й/раѕѕма включает файл зу$ет-аиН в свой стек: 


# саї /еёс/рат.а/раѕѕма 

#%РАМ-1.0 

# Тһіѕ 001 оп1у иѕеѕ һе раѕѕмога ѕ+аск. 

раѕѕмоғга ѕирѕ&аск ѕуѕ+ет-аи+һ 

-раѕѕмога ор+іопа1 рат рпоте Ккеугіпв.ѕо иѕе аиёһ+ок 
раѕѕмоғга ѕирѕ&аск роѕ+1оріп 


ПРИМЕЧАНИЕ 


В дистрибутиве Џбипќи вам нужно изменить файл /еїс/рат.д/соттоп-раѕѕууога вместо файла конфигурации 
ѕуѕіет-аиќћ. 
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В примере далее показаны текущие настройки файла ѕуѕ+ет-аџёћ. Сейчас одна 
запись вызывает модуль рат_сгаск116 РАМ: 


# саї /еёс/рат./5уѕ+ет-аи+ћһ 

#%РАМ-1.0 

# бепега+еа Бу аиеһѕе1ес+ оп Моп Осі 21 19:24:36 2019 
# ро поё тоаі+у +һіѕ Ғі1е тапиа11у. 


аиїћ геди1геа рат епу. $0 

аиїћ геди1геа рат _Ғаі1ае1ау.ѕо 4е1ау=2000000 

аиїћ зи Е1с1епЕ рат Ғргіп+а. ѕо 

аиїћ зи Е1с1епЕ рат ипіх.ѕо пи11оКк Ёгу Ғігѕ раѕ5 

аиїћ гедиіѕіёе рат ѕиссееа іЇ+.ѕо иіа >= 1000 диіеї ѕиссеѕѕ 
аић геди1геа рат епу. $0 

аиёћ ЅѕиҒҒісіепі рат 555.50 Ғогмага раѕѕ 

аиїћ геди1геа рат_4епу. $0 

ассоип* геди1геа рат ипіх. $0 

ассоипі ЅѕиҒҒісіепёі рат 1оса1иѕег.ѕо 

ассоип ЅѕиҒҒісіепі рат ѕиссееа ія. ѕо иіа < 1000 диіеї 

ассоипі [аеҒаџ1&=браа ѕиссеѕѕ=ок иѕег ипкпомп=ірпоге] рат 555.50 
ассоипё геди1геа рат регті+.ѕо 

раѕѕмога гедиіѕіёе рат сгаск11Ы.ѕ0о Егу Ғігѕі раѕ5 гефгу=3 


Запись рам_сгаск116 здесь использует ключевое слово геегу. Для сгаск11Ь до- 
ступны следующие ключевые слова. 
® ЧеБир. Заставляет модуль записывать информацию в системный журнал. 
© ациёһ+ок_+уре=ХХх: 


= по умолчанию используется М№ем ОМ№ІХ раѕѕмога: и Кефуре УМТХ раѕѕиога: для 
запроса паролей; 


" замените ХХХ нужным словом. 
Ф геїгу=/: 

= по умолчанию значение 1; 

" запрашивает пользователя не более Мраз, прежде чем вывести ошибку. 
® аіғок=М№: 

" по умолчанию значение 5; 


= количество символов в новом пароле, которое не должно повторяться в ста- 
ром пароле; 


= исключение 1: если половина символов в новом пароле отличаются от со- 
держащихся в старом, то новый пароль принимается; 


= исключение 2: см. кодовое слово 911 впоге. 
© ді+ғірпоге=Л: 
= по умолчанию значение 23; 


= количество символов в пароле перед настройкой аі+ок игнорируется. 
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тіп1еп=№: 


по умолчанию значение 9; 
минимальный допустимый размер нового пароля; 


посмотрите, как настройки ключевых слов асгейії, исгеа1е, 1сгеӣії 
и осгеаії влияют на тіп1еп. 


асгеаіё= Л: 


по умолчанию значение 1; 


если № 0 — максимальное количество цифр в новом пароле. Если установ- 
лено № цифр или меньше, к каждой из них прибавляется 1 для достижения 
текущего значения тіп1еп; 


если №< 0 — минимальное количество цифр, которое должно быть установ- 
лено для нового пароля. 


исгеаіё= №: 


по умолчанию значение 1; 


если №2 0 — максимальное количество прописных букв в новом пароле. 
Если установлено № прописных букв или меньше, к каждой из них прибав- 
ляется 1 для достижения текущего значения тіп1еп; 


если № < 0 — минимальное количество прописных букв, которое должно быть 
установлено для нового пароля. 


1сгеаіё=№: 


по умолчанию значение 1; 


если № 0 — максимальное количество букв в новом пароле. Если установ- 
лено №строчных букв или меньше, к каждой из них прибавляется 1 для до- 
стижения текущего значения міп1еп; 


если №< 0 — минимальное количество строчных букв, которое должно быть 
установлено для нового пароля. 


осгед14=№ 


по умолчанию значение 1; 


если №2 0 — максимальное количество других символов в новом пароле. 
Если установлено № других символов или меньше, к каждой цифре прибав- 
ляется 1 для достижения текущего значения тіп1еп; 


если № < 0 — минимальное количество других символов, которое должно 
быть установлено для нового пароля. 


міпс1аѕ5= №: 


по умолчанию значение 0; 


для нового пароля требуется № символов четырех классов. Четыре класса — 
это цифры, прописные буквы, строчные буквы и другие символы. 
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© тахгереа+=Л: 
" по умолчанию значение 0; 


= отклоняет пароли, которые содержат больше чем М последовательных сим- 
ВОЛОВ. 


® гејесї иѕегпате. Проверяет, содержится ли имя пользователя в каком-либо 
виде в новом пароле. Если имя найдено, пароль будет отклонен. 


® ігу Ғігѕї раѕѕ. Пробует получить пароль от предыдущего модуля РАМ. Если 
это не сработает, запросите пароль у пользователя. 


® изе_ацейхок. Этот аргумент применяется для того, чтобы заставить модуль 
не запрашивать у пользователя новый пароль. Вместо этого новый пароль 
предоставляется модулем раззшотА. 


© аісіраїһ=/ра+һ. Путь к словарям сгаск1ір. 
© тахѕедиепсе=Л: 
= по умолчанию значение 0), то есть отключено; 


= значение № устанавливает любое число, отличное от 0, и отклоняет пароли 
с похожими символами длиннее этого числа. 


® тахс1аѕѕгереа+=Л: 
" по умолчанию значение 0, то есть отключено; 


= значение № — это любое число, отличное от 0; отклоняются пароли, в которых 
подряд стоит большее количество символов одного класса. 


© ресоѕсһеск= №. Приводит к тому, что пароли с более чем тремя символами из 
поля СЕСО$ учетной записи пользователя, содержащего, как правило, реальные 
имена, отклоняются. 


Ф епҒогсе Ғог гоо №: 
" по умолчанию значение 0, то есть отключено; 


= значение № — это любое число, отличное от 0; отклоняются пароли, в которых 
подряд стоит большее количество символов одного класса. 


© епҒогсе_Ғог_гоої. Проверяет пароль суперпользователя. Функция отключена 
по умолчанию. 


Например, если в вашей организации требуется, чтобы пароли были длиной 
десять символов и содержали две цифры, вы должны добавить в файл /ефс/рат.а/ 
ѕуѕёет-аиЁһ следующую строку: 


раѕѕмога гедиігеа рат_сгасКк116.5$0 тіп1еп=10 асгеӣії=-2 
Ключевые слова, используемые в этом примере с рат сгаск1іЫ: 


® піп1еп=18 — новый пароль должен содержать как минимум десять символов; 


Ф асгейі+=-2 — новый пароль должен содержать две цифры. 
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ПРИМЕЧАНИЕ 


Ограничения рат_стасКИЬ не применяются к суперпользователю, если вы не задействуете параметр епогсе_ 
ог гоої. 


Использование команды ѕийо вместе 
с модулями РАМ 


Чтобы разрешить отслеживание применения учетной записи суперпользователя 
отдельными лицами (см. главу 22 «Базовые методы обеспечения безопасности»), 
вы должны ограничить использование команды ѕи и поощрять использование 
команды ѕидо. Если в вашей организации такая политика, можете сделать это с по- 
мощью РАМ всего за несколько шагов. 

Команда ѕи может использовать модули РАМ, что значительно упрощает про- 
цесс. Она задействует модуль РАМ рат _мпее1 для проверки пользователей в группе 
мһее1. Здесь показан файл конфигурации /еёс/рат. й/ѕи: 


# саї /ефс/рат.а/$и 


#%РАМ-1.0 
аиїћ геди1геа рат _гооёок. 50 
аиїћ зи Е1с1епе рат гооок. 50 


# Опсоттепе {Ве Ғо11оміпе 1Ііпе бо ітр1ісі+1у Ёгиѕ+ иѕегѕ 
# іп Бе "мһее1" ргоир. 

Наци зи Е1с1епЕ рат мһее1. 50 Ёгиѕ изе_и1а 

# УпсоттепЕ {Ве Ғо110оміпе 1Ііпе о геди1ге а изег фо Бе 
# іп Пе "мһее1" вгочр. 


#аиЁһ геди1геа рат мһее1. 50 изе_и1а 

аиїћ ѕибѕ+аск зузЕет-аиЕИ 

аиїћ іпс1иде роѕ+1оріп 

ассоип+ ѕиҒҒісіепі рат _ѕиссееа і+.ѕо и14 = 9 иѕе џіа аиіеї 
ассоип іпс1иде ѕуѕёет-аиёһћ 

раѕѕмога іпс1иде ѕуѕёемт-аиёһћ 

ѕеѕ5іоп іпс1иде ѕуѕёемт-аиёһћ 

ѕеѕ5іоп іпс1иде роѕ+1оріп 

ѕеѕ5іоп орбіопа1 рат_хаиёћ.ѕо 


Поначалу, чтобы ограничить использование команды ѕи, если вы задействуете 
группу мһћее1 в качестве административной, необходимо переназначить свою группу 
(см. главу 11 «Управление учетными записями»). Если вы не используете группу 
мһее1, просто не назначайте никого в нее в будущем. 

Далее нужно отредактировать файл конфигурации /еёс/рат.а/ѕи. Удалите знак 
комментария # из следующей строки: 


Наци геди1геа рат мһее1. 50 изе_и1а 
После таких изменений модуль РАМ отключает использование команды. Адми- 


нистраторы теперь должны применять команду ѕидо, которую система отслеживает 
и для которой обеспечивает желаемую среду (см. главу 22). 
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Дополнительная информация о модулях РАМ 


Модули РАМ — это универсальный инструмент безопасности, доступный в си- 
стеме Глпих. На справочных страницах Глпих вы можете прочитать об управлении 
файлами конфигурации РАМ и о модулях в каталоге /иѕғ/11664/ѕесигі+у (64-6510). 


® Чтобы получить дополнительную информацию о файлах конфигурации РАМ, 
используйте команду тап рам. соп#. 


ө Вы можете просмотреть все модули, доступные в системе, введя команду 1$ /иѕг/ 
11664/ѕесигі+у/рат* . 0. Чтобы получить более подробную информацию о каж- 
дом модуле, введите тап рам_тоди1е_пате. Обязательно добавьте расширение 
файла ѕо к названию рат_тоди1е_паме. Например, введите тап рат_1аѕ1106, что- 
бы узнать больше о модуле рат_1а$1ор. $0. Сайты, на которых можно получить 
дополнительную информацию о модулях РАМ: 


= официальный сайт ОЁЙйс1а| [лпих-РАМ: іпих-рат.ого; 


= сайт іпих-РАМ Ѕуѕќет Аатіпіѕігасог'ѕ Сшде: Ипих-рат.ога/ Шпих-РАМ-Һёті/ 
Шпих-РАМ_ЅАС.ћті; 


" сайт РАМ Моаишіе: Ііпих-рат.огд/Шпих-РАМ-Һіті/ѕад- тодше-гегегепсе. Пти. 


Резюме 


Инструменты криптографии предлагают способы защиты и проверки достовер- 
ности данных, которые применяются в системе Гіпих. Модули РАМ представляют 
собой средства создания политик для защиты инструментов, с помощью которых 
происходит аутентификация пользователей в системе. 

Как с инструментами криптографии, так и с модулями РАМ следует обращаться 
осторожно. Обязательно тестируйте любые изменения в тестовой или виртуализи- 
рованной системе лпих, прежде чем внедрять их в основную систему. 

В следующей главе мы разберем систему $Е11пих. Если криптография и мо- 
дули РАМ — это инструменты, которые вы можете использовать в своей системе 
Тіпих, то ЗЕ пих — это целая система повышения уровня безопасности. 


Упражнения 


С помощью этих упражнений проверьте свои знания об инструментах криптогра- 
фии и модулях РАМ. Задачи подходят для систем Еедога или Кеа Наё Ещегризе 
Тіпих (некоторые будут работать и в других системах Глпих). Если затрудняетесь 
с решением заданий, воспользуйтесь ответами к упражнениям, приведенными 
в приложении Б (хотя Глпах позволяет решать задачи разными способами). 


1. Зашифруйте файл с помощью утилиты ере2 и симметричного ключа. 


2. Создайте связку открытых ключей с помощью утилиты вре2. 


10. 
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Перечислите все ключи, относящиеся к только что созданной связке ключей. 
Зашифруйте файл и добавьте свою цифровую подпись с помощью утилиты ре2. 


Перейдите на страницу загрузки дистрибутива Ее4ога деіеаога.ого. Выберите 
подходящий дистрибутив. После окончания загрузки подтвердите его образ. 


Используя команду мһћісћһ ѕи, определите полное имя файла команды. Затем 
определите, является ли команда в вашей системе Глпих подходящей для мо- 
дулей РАМ. 


Есть ли у команды файл конфигурации РАМ? Если это так, выведите его на 
экран и перечислите контексты РАМ, которые он использует. 


Выведите на экран список модулей, имеющихся в вашей системе. 

Найдите файл конфигурации РАМ о*жпег в своей системе. Существует ли он? 
Применяет ли он механизм Ітр1ісії репу? 

Есть ли у него настройки, предотвращающие появление ѓогк-бомбы в вашей 
системе? 


Повышенная безопасность 
с технологией 5ЕМпих 


В этой главе 


и Преимущества ЅЕШпих. 

ш Работа ЅЕШпих. 

ш Настройка ЅЕШпих. 

и Устранение неполадок с ЅЕЦпих. 

ш Дополнительная информация о ЅЕіпих. 


Технология беситйу Епйапсе4 Глпих (5ЕТлпих) была разработана Агентством на- 
циональной безопасности (Майопа| Ѕесигіќу Абепсу, МЅА) совместно с другими 
исследовательскими организациями в области безопасности, включая Зесиге 
Сотрийпз Согрогайоп (ЅСС). $Е пих была выпущена для сообщества с откры- 
тым исходным кодом в 2000 году и стала популярной, когда компания Кеа На 
включила ее в свои дистрибутивы Глпах. Сейчас ЗЕГлпих широко доступна и ис- 
пользуется множеством организаций. 


Преимущества ЅЕШпих 


ЗЕГ пах — это модуль повышения безопасности, развернутый над Піпих. Он обе- 
спечивает дополнительные меры безопасности, включен по умолчанию и настроен 
на принудительный режим в Кеа Наб Епїегргіѕе Тлпих (КНЕТ) и Еейога. 

ЗЕПпих обеспечивает повышенную безопасность в системе Глпих с помощью 
управления доступом на основе ролей (КВАС$) к субъектам и объектам (они же 
процессы и ресурсы). Традиционная безопасность Глпих использует избирательное 
управление доступом (Ріѕсгебіопагу Ассеѕѕ Сопёго|5, РАС). 

С помощью управления РАС процесс может получить доступ к любому файлу, 
каталогу, устройству или другому ресурсу, который остается открытым для досту- 
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па. С помощью КВАС процесс имеет доступ только к тем ресурсам, к которым он 
явно разрешен в зависимости от назначенной роли. Здесь кстати то, что ЗЕ тих 
реализует управление доступом на основе ролей, чтобы назначить политику 
ЅЕТіпих процессам. Эта политика ограничивает доступ следующим образом. 


® Позволяет процессу получить доступ к ресурсам, у которых есть только явные 
метки. 


ө Предотвращает потенциально небезопасные функции (например, запись в ка- 
талог), доступные в виде логических значений, которые могут быть включены 
или выключены. 


Служба, например веб-сервер, включающая политику ЗЕГ4пих, часто устанав- 
ливается с метками 5Е пих, настроенными для определенных каталогов и фай- 
лов. Это может привести к тому, что запущенный процесс сервера может читать 
файлы только из определенных каталогов и записывать в них же. Если вы хотите 
это изменить, нужно добавить правильные метки ЗЕГлпих на файлы и каталоги, 
к которым вы хотите получить доступ. 

Технология ЗЕ их не является заменой управления доступом РАС, она пред- 
ставляет собой дополнительный уровень безопасности. 


® Правила РАС применяются и при использовании 5Е11пих. 


® Сначала проверяются правила "АС, а если доступ разрешен, то проверяются 
политики ЗЕ пах. 


ө Если правила РАС запрещают доступ, политики ЗЕ пах не рассматрива- 
ются. 


Если пользователь пытается выполнить файл, к которому у него нет доступа 
(ги-), традиционные элементы управления РАС Піпих запрещают доступ. Таким 
образом, политики ЅЕ1іпих даже не проверяются. 


ПРИМЕЧАНИЕ 


Система 5ЕМпих — это повышенная безопасность по умолчанию для дистрибутивов Кеа Нат, а как систе- 
ма АррАгтог — это повышенная безопасность по умолчанию для Џбипќи. Вы можете установить 5ЕЦпих на 
Џбипќи с помощью команды ѕийо арї-деї та! зейпих, а затем перезагрузить систему. Однако на момент на- 
писания этой книги вики-страница /Бипи для 5ЕМпих предполагает, что вы не используете пакет 5Е\пих Џбипќи 
(мікі.ирипќи.сот/ЅЕшпих). Если вы хотите больше узнать об АррАгтог, перейдите на страницу Вер. ибипи.сот/ 
соттипіќу/АррАгтог. 


Несмотря на то что традиционные средства управления безопасностью Піпих 
все еще работают, использование ЗЕТлпах имеет ряд преимуществ. Далее приве- 
дены некоторые преимущества 5 Е1пих. 


® Система реализует модель контроля доступа КВАС. Она считается самой 
сильной моделью контроля доступа. 
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® Система задействует доступ с наименьшими привилегиями для субъектов, 
например пользователей и процессов. Принцип минимальных привилегий озна- 
чает, что каждому субъекту предоставляется ограниченный набор привилегий, 
достаточных для того, чтобы он мог выполнять свои задачи. При реализации 
этого принципа пользователь или процесс рискуют случайно (или преднаме- 
ренно) повредить объекты. 


® Система позволяет обрабатывать «песочницу». Термин «песочница» означает, 
что каждый процесс выполняется в собственной области. Он не может получить 
доступ к другим процессам или их файлам, если не будут предоставлены специ- 
альные права. Области, в которых выполняются процессы, называются доменами. 


® Система позволяет проверить всю функциональность перед началом ра- 
боты. У ЗЕ пах есть разрешительный режим, который позволяет увидеть 
эффект применения ЗЕГлпих в системе. В разрешительном режиме 5 Е1пих 
по-прежнему регистрирует то, что посчитает нарушениями безопасности (от- 
казы АУС), но не предотвращает их. 


Еще один способ взглянуть на преимущества ЗЕТлпиах — это изучить послед- 
ствия того, что в вашей системе Глпиах не работает ЗЕТлпих. Так, в примере с веб- 
сервером демон веб-сервера (һеєра) прослушивает порт, ожидая, что что-то про- 
изойдет. Из браузера приходит простой запрос на просмотр домашней страницы. 
Реализуя обычный порядок действий, демон һе+ра видит запрос, в это время 
применяется только традиционная безопасность Глпих. Будучи неограниченной 
системой Ѕ$Е1лпих, служба пера может: 


® дать доступ к любому файлу или каталогу на основе прав на чтение/запись/ 
выполнение для связанного владельца и группы; 


® выполнять потенциально небезопасные действия, например давать права на 
загрузку файла или изменение системных ограничений; 


® прослушивать любой порт в поиске входящих запросов. 


В системе, ограниченной ЗЕГлпих, демон һ+ёра управляется гораздо жестче. 
Как и в предыдущем примере, служба ИЕЕра может прослушивать только тот порт, 
на котором ЗЕТ4лпих позволяет ему прослушивать. ЗЕТЛпих запрещает пера доступ 
к любому файлу, который не имеет соответствующего контекста безопасности, 
и запрещает потенциально небезопасные действия, которые явно не включены 
с помощью логических типов. По сути, система ЗЕ тих строго ограничивает то, 
к чему вредоносный код может получить доступ, и вообще ограничивает актив- 
ность в системе пих. 


Как работает система ЅЕШпих 


Систему ЅЕ1іпих можно сравнить с охранником у двери, когда субъект (пользо- 
ватель) хочет получить доступ к объекту (файлу) внутри комнаты. Условия полу- 
чения доступа к этому объекту следующие. 
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1. Субъект должен предъявить охраннику значок ТО. 


2. Охранник должен просмотреть значок ТО и правила доступа, хранящиеся 
в большом руководстве. 


= Если правила разрешают этому значку Г) войти в комнату, субъект может 
сделать это, чтобы получить доступ к объекту. 


" Если правила доступа не позволяют этому значку ТО получить доступ к объ- 
екту, то охранник не дает субъекту пройти. 


ЗЕГ4лпих обеспечивает комбинацию управления доступом на основе ролей 
(КВАС), многоуровневой безопасности (ти!-|еуе| ѕесигіќу, МІ.5) и модели при- 
нудительной типизации доступа (буре епѓогсетепё, ТЕ). При управлении досту- 
пом на основе ролей доступ к объекту определяется назначенной субъекту ролью 
в организации. Поэтому доступ не основан на имени пользователя субъекта или 
идентификаторе процесса. Каждой роли предоставляются права доступа. 


Принудительная типизация доступа 


Принудительная типизация доступа необходима для реализации модели КВАС. 

Она обеспечивает безопасность системы с помощью следующих методов: 

® маркировки объектов как определенных типов безопасности; 

® назначения субъектов определенным доменам и ролям; 

® предоставления правил, позволяющих определенным доменам и ролям получать 
доступ к определенным типам объектов. 


В следующем примере используется команда 1$ -1 для отображения элементов 
управления РАС в файле ту ѕ+и##. Выходные данные показывают владельца фай- 
ла (јоһпаое) и группу (јоһпаое), а также его назначенные права. Если вам нужна 
информация о правах доступа к файлам, обратитесь к главе 4 «Файловая система». 


$ 15 -1 ту ѕ+иҒҒ 
-ги-ги-г--. 1 јоһпаое јоһпдое ё ЕеБ 12 06:57 ту ѕъиҒҒ 


Следующий пример включает в себя команду 1$ -17 и тот же файл ту ѕ&и#+, 
но вместо элементов управления РАС параметр -2 также отображает элементы 
управления безопасностью КВАС: 


$ 15 -12 ту ѕ+иғҒ 
-ги-ги-г--. јоһпаое јоһпаое ипсопҒіпеа и:објесі г:иѕег һоте +: 50 
пу зи 


В примере 1$ -7 отображаются четыре связанных с файлом элемента, которые 
относятся к ЗЕ пих: 
® изег (ипсопғҒіпеа и); 
© го1е (објесї г); 
® туре (иѕег һоте +); 
® 1еме1 (50). 
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Эти четыре элемента КВАС (пользователь, роль, тип и уровень) применяются 
в управлении доступом 5Е пих для определения соответствующих уровней досту- 
па. Вместе эти элементы называются контекстом безопасности $Е1лпих. Контекст 
безопасности (значок 0) иногда называют меткой безопасности. 

Элементы контекста безопасности присваиваются субъектам (процессам и поль- 
зователям). Каждый контекст безопасности имеет имя. Оно зависит от того, какому 
объекту или субъекту присвоено. То есть файлы имеют контекст файла, пользо- 
ватели имеют контекст пользователя, а процессы имеют контекст процесса, также 
называемый доменом. 

Правила, разрешающие доступ, называются разрешающими правилами или 
правилами политики. Правило политики — это процесс, которого 5Е пих при- 
держивается, чтобы предоставить или запретить доступ к определенному типу 
безопасности системы. Возвращаясь к сравнению, $Е пих служит охранником, ко- 
торый должен увидеть контекст безопасности субъекта (значок ГО) и просмотреть 
правила политики (руководство по правилам доступа), прежде чем разрешить или 
запретить доступ к объекту. Таким образом, принудительная типизация доступа 
гарантирует, что только определенные типы субъектов могут получить доступ 
к определенным типам объектов. 


Многоуровневая модель безопасности 


В 5Е пих тип политики по умолчанию называется целевой политикой, кото- 
рая в основном управляет доступом к сетевым службам, таким как веб-серверы 
и файловые серверы, в системе Глпих. Целевая политика накладывает меньше 
ограничений на то, что допустимые учетные записи пользователей могут делать 
в системе. Для более ограниченной политики можно выбрать модель многоуров- 
невой безопасности (Ми!-Геуе| Зесигбу, МІ.5). МТ.$ применяет принудительную 
типизацию доступа наряду с дополнительной функцией прав безопасности. Она 
также обеспечивает мультикатегорийную безопасность, которая назначает уровни 
классификации объектам. 


СОВЕТ 


Названия многоуровневой безопасности (МЕ$) могут вызвать путаницу. Безопасность Ми -Саеедогу Ѕесигіїу 
(МС) иногда называют безопасностью МиЇїї-Сіеагапсе Ѕесигїїу. Поскольку МІЅ предлагает МС, его иногда назы- 
вают МІЅ/МС. 


Многоуровневая безопасность обеспечивает соблюдение модели принуди- 
тельного доступа Белла — Лападулы (Ве — ГаРаіша Мап4афогу Ассеѕѕ). Модель 
Белла — Лападулы была разработана правительством США для обеспечения 
конфиденциальности информации. Модель применяется путем предоставления 
доступа к объекту на основе разрешения безопасности роли и уровня классифи- 
кации объекта. 
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Разрешение безопасности — это атрибут, предоставляемый ролям, разрешающим 
доступ к классифицированным объектам. Уровень классификации — это атрибут, 
предоставляемый объекту, который обеспечивает защиту от субъектов со слишком 
низким атрибутом разрешения безопасности. Вы, скорее всего, слышали о совер- 
шенно секретном уровне классификации. Вымышленный персонаж книг и филь- 
мов Джеймс Бонд имел сверхсекретный допуск, который давал ему доступ к сверх- 
секретной информации. Это классический пример модели Белла — Лападулы. 

Сочетание КВАС вместе с принудительной типизацией доступа или много- 
уровневой безопасностью позволяет ЗЕГлпих обеспечить максимальное повышение 
безопасности. В системе $Е11іпих существуют также различные режимы работы. 


Модели безопасности ЅЕШпих 


Управление доступом на основе ролей, принудительная типизация доступа, много- 
уровневая безопасность и модели Белла — Лападулы — все это очень интересные 
темы. Система 5Еіпих реализует эти модели с помощью комбинации четырех 
основных частей ЗЕ тих: 


® режимов работы; 

® контекстов безопасности; 
© типов политик; 
ө 


пакетов правил политики. 


Хотя мы уже коснулись некоторых из этих элементов, в дальнейшем рассмо- 
трим их глубже. Необходимо разобраться в них, прежде чем вы сможете начать 
изменять настройки ЗЕ их в своей системе. 


Режимы работы ЅЕШпих 


У системы ЗЕП пах есть три режима работы: отключенный, разрешительный и при- 
нудительный. У каждого из них есть различные преимущества для безопасности 
системы пих. 

Отключенный режим. В отключенном режиме ЗЕГлпих выключен. Вместо этого 
по умолчанию используется метод избирательного контроля доступа ( О1зсгейопагу 
Ассеѕѕ Сопёго[, РАС). Этот режим полезен в тех случаях, когда повышенная без- 
опасность не требуется. 

Если это возможно, Вей Наї рекомендует установить ЗЕТлпих в разрешительный 
режим, а не отключать его. Однако бывают случаи, когда отключить Ѕ$Е1іпих стоит. 

Если вы запускаете приложения, которые работают правильно (с вашей точки 
зрения), но генерируют огромное количество сообщений об отказе ЗЕ пих АУС 
(даже в разрешительном режиме), то в итоге файлы журналов заполнятся до такой 
степени, что системы станут непригодными для работы. Лучший подход — устано- 
вить надлежащий контекст безопасности для файлов, к которым ваши приложения 
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должны получить доступ. Тем не менее отключение ЗЕГлпих — это более быстрое 
решение. 

Однако, прежде чем отключить ЗЕГлпих, подумайте о том, захотите ли вы снова 
включить его в этой системе. Если вы решите установить его в принудительный 
или разрешительный режим позже, то в следующий раз при перезагрузке системы 
она пройдет автоматическую повторную маркировку файла 5Е11пих. 


СОВЕТ 


Если все, что вас волнует, — это отключение 5ЕШпих, то можете это сделать. Просто отредактируйте файл конфи- 
гурации /еїс/ѕе!іпих/сопћд и измените текст ЗЕЧМИХ= на ЅЕШМОХ=аіѕаБіеа. ЗЕЦпих будет отключен после переза- 
грузки системы. Остальную часть этой главы можете пропустить. 


Разрешительный режим. В разрешительном режиме 5Е пих включен, но 
правила политики безопасности не применяются. Когда правило политики без- 
опасности должно запретить доступ, он все равно будет разрешен. Однако в файл 
журнала отправляется сообщение о том, что доступ должен был быть запрещен. 

Разрешительный режим ЗЕ тах используется: 


® для аудита текущих правил политики ЗЕ тих; 


® тестирования новых приложений, чтобы увидеть, как повлияют на них правила 
политики ЗЕПпих; 


® тестирования новых правил политики $Е1лпих, чтобы увидеть, как они повлия- 
ют на текущие службы и приложения; 


® устранения неполадок, из-за которых конкретная служба или приложение 
больше не работают должным образом в ЗЕТапих. 


В некоторых случаях можно использовать команду аи91{2а11ом для чтения жур- 
налов аудита ЗЕГлпах и создания новых правил ЗЕ пах, позволяющих выборочно 
разрешать запрещенные действия. Это быстрый способ заставить приложения 
работать в системе Глпих, не отключая ЅЕ1іпих. 

Принудительный режим. Название говорит само за себя. В принудительном 
режиме система Ѕ$Е1іпих включена и все правила политики безопасности при- 
меняются. 


Контексты безопасности ЅЕШпих 


Как упоминалось ранее, контекст безопасности $Е11іпих — это метод классифика- 
ции объектов, таких как файлы, и субъектов, таких как пользователи и программы. 
Определенный контекст безопасности позволяет $Е1лпих задействовать правила 
политики для субъектов, обращающихся к объектам. Контекст безопасности со- 
стоит из четырех атрибутов: иѕег, го1е, +уре и 1е\е1. 


® изег. Атрибут изег — это сопоставление имени пользователя Глпих с именем 
ЗЕП тих. Это не то же самое, что логин пользователя, он упоминается именно 
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как пользователь ЗЕТлпих. Имя пользователя ЗЕТлпих заканчивается на букву и, 
что облегчает его идентификацию в выходных данных. Обычные пользователи 
без ограничений имеют атрибут пользователя ипсопҒіпеа и в целевой политике 
по умолчанию. 


го1е. Назначенная роль сопоставляется с именем роли ЗЕТлпих. Затем атрибут 
го1е присваивается различным субъектам и объектам. Каждой роли предо- 
ставляется доступ к другим субъектам и объектам в зависимости от уровня 
ее безопасности и уровня классификации объекта. Если точнее, для ЗЕлпах 
пользователям назначается роль, а роли разрешаются для определенных типов 
или доменов. Применение ролей может привести к тому, что учетные записи, 
например, суперпользователя окажутся в менее привилегированном положении. 
В имени роли ЗЕТапаих на конце стоит буква г. В целевой системе ЗЕТлпих про- 
цессы, запущенные суперпользователем, имеют роль зуз%ет_г, в то время как 
обычные пользователи применяют роль ипсоп1пе4_г. 


туре. Атрибут $уре определяет тип домена для процессов, тип пользователя для 
пользователей и тип файла для файлов. Этот атрибут называется также типом 
безопасности. Большинство правил политики касаются типа безопасности 
процесса и того, к каким файлам, портам, устройствам и другим элементам си- 
стемы этот процесс имеет доступ (на основе их типов безопасности). Имя типа 
ЗЕГ пах заканчивается на букву +. 


1е\е1. Іеуе1 является атрибутом многоуровневой безопасности (МТ.5) и обе- 
спечивает соблюдение модели Белла — Лападулы. Он необязателен при ис- 
пользовании ТЕ, но обязателен при задействовании МТ. 


Уровень МТ5$ представляет собой комбинацию значений чувствительности 
и категории, которые вместе образуют уровень безопасности. Уровень записы- 
вается как ѕепѕіїіуі+у : саерогу. 


Значение ѕепѕі+іуіё+у: 


" представляет уровень безопасности или чувствительности объекта, например 
конфиденциальный или совершенно секретный; 


"= иерархично, причем уровень $9 (неклассифицированный) обычно самый 
низкий; 


= отображается как пара уровней чувствительности ([ош{еое/-иШеое/), если 
уровни различаются; 


= указывается как единый уровень чувствительности (50), если нет низких 
и высоких уровней. Однако в некоторых случаях, даже если нет низких и вы- 
соких уровней, диапазон все равно отображается (50-50). 


Значение сатерогу: 
" представляет категорию объекта, например № С1еагапсе, Тор С1еагапсе и т. д.; 
= традиционно находится между сд и с255; 


= перечисляется как пара уровней категории ([ошЁеуей. итдтеуе(.), если уров- 
ни различаются; 
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= перечисляется как единая категория (уровень), если нет низких и высоких 
уровней. 


Контексты безопасности пользователей. Чтобы увидеть пользовательский 
контекст ЗЕпих, введите команду іа в командной строке оболочки. Далее при- 
веден пример контекста безопасности для пользователя јоһпаое: 
$ іа 
иіа=1000(јоһпаое) ріа=1000(јоһпаое) ргоирѕ=1000(јоһпаое) 
сопёехі=ипсоп+іпеа и: ипсоп+іпеа г: ипсоп+іпеа +:50-50:с0.с1023 

В списке контекста безопасности пользователя находится следующее. 


® Џѕег. Пользователь Гіпих јоһпаое сопоставляется с пользователем ЗЕ пах 
ипсопҒіпеа и. 


® го1е. Пользователь 5Е пих ипсоп+іпеа и сопоставляется с ролью ипсоп+Ғіпеа г. 


уре. Пользователю присваивается тип ипсоп+іпеа +. 
© 1еуе1: 


= сѕепѕіїіуіїу. У пользователя есть только один уровень чувствительности, 
и он самый низкий — $0; 


= Саїерогіеѕ. Пользователь имеет доступ к сӨ.с1023, то есть ко всем катего- 
риям от с@ до с1023. 


Контексты безопасности файлов. Файл имеет также контекст безопасности. 
Чтобы увидеть контекст отдельного файла, примените параметр -2 в команде 1. 
Далее приведен контекст безопасности для файла ту_ѕ&0#Ғ: 
$ 15 -2 ту _$и Е 


-ги-гм-г--. јоһпаое јоһпаое 
ипсопҒіпеа и:објесі г:иѕег һоте +:50 ту ѕЕиҒҒ 


В списке контекста безопасности файла находится следующее. 


иѕег. Файл сопоставляется с пользователем $5Е пих ипсопҒіпеа и. 
го1е. Файл сопоставляется с ролью обес _г. 


+уре. Файл считается частью домена иѕег_ һоте +. 


Іеме1: 


= сѕепѕіїіуіїу. У пользователя есть только один уровень чувствительности, 
и он самый низкий — $0; 


= саберог1ез. Модель МС5 для этого файла не установлена. 


Контексты безопасности процессов. Контекст безопасности процесса имеет 
те же четыре атрибута, что и контекст пользователя и файла. Чтобы просмотреть 
информацию о процессе в системе Піпих, обычно применяется вариант команды рѕ. 
В следующем примере задействована команда рѕ -е1: 

# рѕ -е1 | ргер Баѕһ 
Ө $ 1000 1589 1583 ө вө 9 - 1653 п ї+у р+5/0 00:00:00 
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раѕћ 

Ө $ 1000 5289 1583 ө 80 Ө - 1653 маії рЕ$/1 00:00:00 
раѕћ 

4 5 Ө 5350 5342 ө 80 Ө - 1684 шале рЕ$/1 


00:00:00 Баѕһ 


Чтобы увидеть контекст безопасности процесса, нужно использовать параметр 
-2 в команде рѕ. В следующем примере команда рѕ -е7 была передана в вгер для 
поиска процессов, выполняющих оболочку Ба: 
# рѕ -е2 | ргер Ббаѕһ 
ипсоп1пед_и: ипсоп1пеа_г: ипсоп1пеа_+:$0-$0:с0.с1023 1589 рі5/0 
00:00:00 БазН 
ипсопҒіпеа и: ипсопҒіпеа г: ипсопҒіпеа +:50-50:с0.с1023 5289 рі5/1 
00:00:00 баѕћһ 
ипсопҒіпеа и: ипсопҒіпеа г: ипсопҒіпеа +:50-50:с0.с1023 5350 рі5/1 
00:00:00 Баѕћһ 


В списке контекста безопасности процесса находится следующее. 


иѕег. Процесс сопоставляется с пользователем 5Е пих ипсоп#іпей и. 
го1е. Процесс выполняется как роль ипсоп1пед_г. 


уре. Процесс выполняется в домене ипсоп+іпеа +. 


1еуе1: 
= сѕепѕіїіуіїу. У процесса только один уровень чувствительности 56; 


= саферог1ез. Процесс имеет доступ к сё. с1023, то есть ко всем категориям от 
с@ до с1023. 


Все эти контексты безопасности могут быть изменены в соответствии с кон- 
кретными потребностями вашей организации в области безопасности. Однако, 
прежде чем узнать, как изменить настройки этих контекстов безопасности, 
вам нужно разобраться еще в одной части системы $Е11пих — типах политик 
ЗЕ их. 


Типы политик в системе ЅЕШпих 


Выбранный тии политики напрямую определяет, какие наборы правил политики 
используются для определения того, к чему объект может получить доступ. Тип по- 
литики также определяет, какие конкретные атрибуты контекста безопасности не- 
обходимы. Именно здесь появляется основной уровень контроля доступа, который 
может быть реализован с помощью ЗЕГлпих. 


ПРИМЕЧАНИЕ 


Типы политик, доступные в вашем дистрибутиве, могут не совпадать с перечисленными далее. Например, в ста- 
рых дистрибутивах Ипих применяется более строгая политика. В новых дистрибутивах строгая политика объеди- 
нена с политикой Тагдеќеа, используемой по умолчанию. 
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ЗЕГ пах имеет различные политики, среди которых вы можете выбрать: 


ө Тагоееа; 
МІ; 
Ф® Мшшит. 


Каждая политика реализует различные элементы управления доступа в соответ- 
ствии с потребностями вашей организации. Очень важно изучить эти типы политик, 
чтобы выбрать подходящую для конкретных требований безопасности. 

Политика Тагове4. Основная цель политики Тагое(е — это ограничение целе- 
вых демонов. Однако она может ограничивать и другие процессы и пользователей. 
Целевые демоны находятся в «песочнице». «Песочница» — это среда, в которой 
программы могут работать, но их доступ к другим объектам строго контролируется. 

Процесс, работающий в такой среде, также называется «песочницей». Таким об- 
разом, целевой демон ограничен, так что никакие вредоносные атаки, запущенные 
через него, не могут повлиять на другие службы или систему Глпих в целом. Целе- 
вые демоны делают более безопасным совместное использование сервера печати, 
файлового сервера, веб-сервера или других служб, ограничивая при этом риски, 
связанные с доступом к этим службам, для других ресурсов вашей системы. 

Все субъекты и объекты, не являющиеся целевыми, запускаются в домене 
ипсопҒіпеа +. Домен ипсоп+іпеа + не имеет ограничений политики 5Е пих и, та- 
ким образом, использует только традиционную безопасность Глпих. 

В системе ЗЕГлпах политика Тагвее4 установлена по умолчанию. Таким об- 
разом, по умолчанию ЗЕ Лтах нацелена лишь на несколько демонов. 

Политика МІ.5 (Ма-Геуе| Ѕесигіќу). Основная цель политики МТ.$ — обеспе- 
чить соблюдение модели Белла — Лападулы. Она предоставляет доступ к другим 
субъектам и объектам на основе разрешения безопасности роли и уровня класси- 
фикации объекта. 

В политике МІ атрибут МІ контекста безопасности имеет решающее зна- 
чение. В противном случае правила политики не будут знать, как применять огра- 
ничения доступа. 

Политика Мшипит. Как следует из названия, данная политика сама по себе ми- 
нимальна. Первоначально она была создана для машин или устройств с небольшим 
количеством памяти, таких как смартфоны. 

Политика Міпітит, по существу, схожа с политикой Тагвеѓей, но использует 
только пакет правил базовой политики. Она, как скелет, может быть применена для 
проверки влияния ЗЕГлпих на одного назначенного демона. Политика Міпітит 
позволяет ЗЕТлпих работать на устройствах с малым объемом памяти, не потребляя 
значительных ресурсов. 


Пакеты правил политики в системе ЅЕШпих 


Правила политики, называемые также разрешающими правилами, — это правила, 
задействуемые ЗЕТапих для определения того, имеет ли субъект доступ к объекту. 
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Правила политики устанавливаются вместе с ЗЕ тих и группируются в пакеты, 
называемые также модулями. 

В системе Глпах имеется пользовательская документация по различным мо- 
дулям политики в виде НТМТ-файлов. Чтобы просмотреть эту документацию на 
Ее4ога или КНЕТІ., откройте браузер и введите следующий О ВТ-адрес: Яе:///изг/ 
ѕһаге/аос/ѕеііпих-роЇісу/һті/іпаех.һті. Для ОЪипёи ОВГ-адрес такой: йе:///иѕг/ѕһаге/ 
аос/ѕеііпих-роіісу-аос/һёт!і/іпаех.һті. Если у вас нет документации по политике вашей 
системы, можете установить ее в Еейога или ВКНЕГ, набрав команду уот іпѕа11 
5е11пих-ро11су-дос. В ОБипи введите в командной строке зидо ар-веї іпѕ+а11 
ѕе1іпих-ро1їісу-Яос. 

Просмотрите эту документацию, чтобы узнать, как создаются и упаковываются 
правила политики. 

Пакеты правил политики, а также режимы работы ЅЕ11іпих, тип политики и раз- 
личные контексты безопасности работают вместе, чтобы защитить вашу систему 
Тлпих с помощью механизма 5Е11пих. В следующих разделах описано, как начать 
настройку $Е11іпих для удовлетворения потребностей вашей организации в об- 
ласти безопасности. 


Настройка системы 5ЕМпих 


Изначально система ЗЕГлпих настроена. Вы можете сразу начать использовать 
ее функции без каких-либо дополнительных настроек. Однако предварительно 
настроенные параметры редко удовлетворяют всем требованиям безопасности 
системы пих. 

Настройки ЅЕ1іпих могут быть установлены и изменены только суперполь- 
зователем. Файлы конфигурации и политики находятся в каталоге /еёс/ ѕе1іпих. 
Основным файлом конфигурации является файл /еёс/ ѕе1іпих/сопҒів, он выглядит 
следующим образом: 

# саї /еіс/ѕе1іпих/сопҒів 


# Тһіѕ +11е сопіго15 {Пе ѕа+е оф $ЕЁ1пих оп {Пе ѕуѕёет. 
# ЗЕЁТМИХ= сап +аке опе о+ +һеѕе +Игее \уа1чие$: 


# епҒогсіпе - 5Еі іпих ѕесигі+у ро11су 1$ еп+Ғогсеа. 
# регтіѕѕіме - ЅЕіпих ргіпёѕ магпіпеѕ 1п${еа оф епҒогсіпе. 
# 915аб1еа - $ЕЁ1пих 1$ Ғи11у 415аБ1еа. 


ЅЕШІМОХ=еп+огсіпе 
# ЅЕІМОХТҮРЕ= сап аке опе оф Ёһеѕе Ёһгее уа1иеѕ: 


# Фагвефе - Тагретеа ргосеѕѕеѕ аге рго+ес+еа, 

# тіпітит - МоаіҒісаёіоп оф +агре+еа ро1ісу. 

# Оп1у ѕе1ес+еа ргосеѕѕеѕ аге рго+ес+еа. 
# т15 - Ми1+і іеме1 Ѕесигі+у ргоёес+іоп. 


ЅЕШІМОХТҮРЕ=+агреќеа 


Этот основной файл конфигурации ЗЕГлпих позволяет установить режим и тип 
ПОЛИТИКИ. 
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Установка режима 5ЕМпих 


Чтобы определить режим ЗЕГлпих в своей системе, используйте команду ве- 
теп+огсе. Чтобы увидеть как текущий режим, так и режим, заданный в файле 
конфигурации, примените команду ѕеѕ+а&иѕ. Обе команды показаны в следующем 


примере: 


# вефепфогсе 
ЕпҒогсіпе 
# зезфафи$ 


ЅЕІіпих $%афиз: епаБ1еа 
ЅЕіпих#ѕ тоип+: /5у5/5/ ѕе1іпих 
ЅЕіпих гоо ЯігесЁогу: /еёс/ѕе1іпих 
Іоадеа ро1ісу папе: +агре+еа 
Сиггепё тое: еп+огсіпе 

Моде Ғгот соп#ів +11е: епТогсіпе 
Ро1ісу М5 ѕ+а+иѕ: епаб1еа 

Ро1ісу аепу ипкпомп ѕ&а+иѕ: а11омеа 

Метогу ргобесёіоп сһескіпе: асфиа1 (зесиге) 
Мах Кегпе1 ро11су мегѕіоп: 31 


Чтобы изменить настройку режима, используйте команду зефеп+огсе пем- 
ѕеїтіпе, где пемзе{1п& — это один из вариантов: 


© епҒогсіпр или 1; 


© регтіѕѕіме или 0. 


Обратите внимание на то, что вы не можете применить команду зефепфогсе для 


перевода ЗЕГлпих в отключенный режим. 

В следующем примере показано, что с помощью команды зеепФогсе режим 
ЗЕ тих немедленно изменяется на разрешительный. Команда ѕеѕ+аёиѕ пока- 
зывает текущий режим работы и режим в файле конфигурации, который не был 
изменен. Когда система перезагружается, она определяет режим работы $Е1пих 
из файла конфигурации. Таким образом, разрешительный режим, установленный 
в следующем примере, временный, поскольку в файле конфигурации установлен 
принудительный режим: 


# ѕетепҒогсе өе 
# рећепҒогсе 
Регтіѕѕіме 

# ѕеѕіа+иѕ 


ЅЕІіпих $%афиз: епаБ1еа 
ЅЕіпих#ѕ тоип+: /5у5/5/ ѕе1іпих 
ЅЕіпих гоо ЯігесЁогу: /еёс/ѕе1іпих 
Іоаеа ро1ісу пате: +агре+еа 
Сиггепё тое: регтіѕѕіме 


Моде Ғгот соп+ірв +11е: 


епТогсіпе 
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ВНИМАНИЕ! 


Лучше всего переключиться из отключенного режима в принудительный, изменив файл конфигурации и пере- 
загрузив систему. Перевод из отключенного режима в принудительный с помощью команды ѕеќепѓогсе может 
затормозить систему из-за неправильных меток файлов. Имейте в виду, что при перезагрузке после перехода 
из режима Фа ед можно долго ожидать повторной маркировки файловой системы после того, как она вернется 
в разрешительный или принудительный режим. 


Чтобы отключить ЗЕГлпих, необходимо отредактировать файл конфигурации 
ЗЕ тих. Перезагрузка системы всегда меняет режим на тот, который задан в этом 
файле конфигурации. Предпочтительным способом изменения режима $Е1пих 
является изменение файла конфигурации и перезагрузка системы. 

При переключении из отключенного режима в принудительный или раз- 
решительный 5Е пих автоматически переназначает файловую систему после 
перезагрузки. Это означает, что ЗЕ пих проверяет контексты безопасности лю- 
бых файлов и изменяет неправильные (например, неверно помеченные файлы), 
которые могут создавать проблемы в новом режиме. Кроме того, любые не поме- 
ченные файлы помечаются контекстами. Процесс переназначения может занять 
много времени, поскольку проверяется контекст каждого файла. Далее показано 
сообщение, которое вы получите, когда система будет повторно маркироваться 
после перезагрузки: 


*** Магп1пё -- ЗЕЁ1пих +агре+еа ро11су ге1аре1 1$ гедиігеа. 
*** Ке1абе11п= сои1А аке а мегу 1опё біте, Яерепаіпе оп +11е 
*** сузфет ѕіғе апа ѕрееа оф һага агімеѕ. 


Чтобы изменить режим в файле /еёс/ѕе1іпих/сопғів, замените строку $ЕІМОХ 
одной из следующих: 


© СЅЕІІМОХ=аіѕаб1ед; 
© СЅЕІМОХ=еп+Ғогсіпе; 
© СЅЕГІМОХ=регтіѕѕіме. 


В примере далее файл конфигурации $Е11пих показывает, что был установлен 
разрешительный режим. Теперь при перезагрузке системы он меняется: 


# са /еїс/ѕе1іпих/сопғҒіє 

# Тһіѕ +11е сопіго15 һе зфафе оф 5Е іпих оп {Пе ѕуѕёет. 
# ЗЕЁТМИХ= сап аке опе оф &һеѕе {Пгее уа1чез: 

# +агрееа - Тагвефе ргосеѕѕеѕ аге рго%ес*еа, 

# тіпітит - МоаіҒісаёіоп оф +агре+еа ро1ісу. 

# Оп1у ѕе1ес+еа ргосеѕѕеѕ аге рго+ес+еа. 
# т15 - Ми1%і іеме1 Ѕесигіу ргобес+іоп 
ЅЕШІМОХ=регтіѕѕіуе 


Основной файл конфигурации 5Еіпих содержит не только настройку режима. 
Он также указывает тип применяемой политики. 
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Установка типа политики ЅЕШпих 


Выбранный тип политики определяет, будет ли ЗЕ пих применять базовую поли- 
тику или политики ТЕ, МТ$. Тип непосредственно определяет наборы правил по- 
литики, используемых для настройки того, к чему может получить доступ объект. 

По умолчанию для типа политики задано значение ёагретеа. Чтобы изменить 
тип политики по умолчанию, отредактируйте файл /еёс/ ѕе1іпих/соп+ір. Замените 
строку ЗЕЕТМИХТУРЕ= одной из следующих: 


© ЗЕЕГТМИХ=Еагветеа; 
© ЗЕЕТМИОХ=т1$; 
© СЕ ІМОХ=тіпітипт. 
Если вы установили тип ЗЕГлпах в т15 или тіпітит, вначале убедитесь, что уста- 
новлен подходящий пакет политики. Проверьте это, введя следующую команду: 


уит 115+ ѕе1іпих-ро1ісу-т15 ог уит 115+ ѕе1іпих-ро1ісу-тіпітит 


ПРИМЕЧАНИЕ 


Чтобы проверить пакеты политики 5Епих в дистрибутиве Џбипќи, задействуйте команду ѕиао арї-сасће ройсу 
раскаде пате. 


Приведенный далее пример файла конфигурации 5Е11пих показывает, что 
тип был установлен в т1ѕ. Теперь, когда происходит перезагрузка системы, тип 
политики изменяется: 


# са /еїс/ѕе1іпих/сопғҒіє 
# Тһіѕ +11е сопіго15 һе ѕа+е оф 5Е іпих оп һе ѕуѕёет. 


# ЅЕІМОХТҮРЕ= +уре оф ро11су іп иѕе. Ро$5161е уа1ие$ аге: 


{агвефе - Тагре+теа ргосеѕѕеѕ аге рго+ес+еа, 
тіпітит - МодаіҒісаёіоп оф +агре+еа ро1ісу. 

Оп1у ѕе1ес+еа ргосеѕѕеѕ аге ргоїес+еа. 
т15 - Ми11 іеме1 Ѕесигі+у ргоёес+іоп. 
ЅЕІМОХТҮРЕ=т15 


# 
# 
# 
# 


Управление контекстами безопасности ЅЕШпих 


Контекст безопасности 5Е1іпих позволяет системе применять правила политики 
для доступа субъектов к объектам. Система Глпих поставляется с уже назначенны- 
ми контекстами безопасности. 

Чтобы просмотреть текущие контексты безопасности файлов и процессов 
ЗЕГ пах, используйте команду ѕесоп. В табл. 24.1 перечислены доступные пара- 
метры команды ѕесоп. 
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Таблица 24.1. Параметры команды ѕесоп 


Параметр Описание 

-и Отображает контекст безопасности 

-г Отображает роль контекста безопасности 

-6 Отображает тип контекста безопасности 

-5 Отображает уровень чувствительности контекста безопасности 

-с Отображает уровень разрешения контекста безопасности 

-т Отображает уровни чувствительности и разрешения контекста 
безопасности в виде диапазона МІ. 


Если вы применяете команду ѕесоп без параметров, она показывает контекст 
безопасности текущего процесса. Чтобы увидеть контекст безопасности другого 
процесса, используйте параметр -р. В следующем примере показано, как с помощью 
команды ѕесоп просмотреть текущий контекст безопасности и контекст безопас- 
ности процесса ѕуѕета: 


# зесоп -игЕ 

изег: ипсопҒіпеа и 
го1е: ипсопҒіпеа 
фуре: ипсоп+іпеа + 
# зесоп -игЕ -р 1 
иѕег: ѕуѕёет и 
го1е: ѕуѕ+ет г 
фуре: іпії + 


Чтобы просмотреть контекст безопасности файла, используйте параметр -+, 
как показано далее: 


# зесоп -игЕ -Ғ /ефс/ра$$ма 
иѕег: ѕуѕёет и 

го1е: објесї г 

фуре: раѕѕма Ғі1е + 


Команда ѕесоп не отображает ваш контекст безопасности. Чтобы увидеть его, 
используйте команду іа. 


Управление контекстом безопасности пользователя 


Помните, что каждый идентификатор входа системного пользователя сопоставля- 
ется с определенным идентификатором пользователя ЗЕТлпих. Чтобы просмотреть 
список сопоставлений в своей системе, введите команду ѕетапаве 1о51п-1. Команда 
ѕетапаре и ее выходные данные показаны в следующем коде. Если идентификатор 
входа пользователя не указан в списке, то он применяет сопоставление входа по 
умолчанию, то есть Еоё1п Мате файла _4ефаи1*_. Обратите внимание на то, что 
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отображаются и соответствующие настройки МІ.5/МСЗ для каждого пользова- 
теля ЗЕ лпих: 


# зетапаёе 1Іоріп -1 


1051п Маме ЅЕіпих Оѕег МЕ$/МС$ Капре Ѕегуісе 
__ аефач1*__ ипсопҒіпеа и 50-50:с0.с1023 8 
гоо ипсопҒіпеа и 50-50:с0.с1023 Е 


Чтобы увидеть текущих пользователей $Е11пих и связанные с ними роли, возь- 
мите команду зетапаре иѕег-1. В следующем примере частично отображены роли, 
сопоставленные с именами пользователей 5Е1пих: 


# зетапаёе иѕег -1 


Габе1іпе МЕ$/ МЕ$/ 
ЗЕЁ1пих Узег Рге+1х  МС$ 1е\ме1 МС$ Вапёе ЅЕіпих Ко1еѕ 
Биеѕїі и иѕег 50 50 Биеѕї г 
иѕег_ и иѕег 50 50 иѕег 
хвиеѕїі и иѕег 50 50 хвиеѕї г 


Если вам нужно добавить новое имя пользователя ЗЕТапах, снова примените 
утилиту зетапаре. На этот раз задействуется команда ѕетапаре изег -а ѕе[іпих 
имя_пользователя. Сопоставить идентификатор входа с недавно добавленным 
именем пользователя ЗЕпах можно с помощью команды ѕетапаре 1оріп -а -$ 
ѕе[іпих имя пользователя ІодіпІр. Команда зетапаве — это мощный инструмент 
управления конфигурацией ЗЕГлпих. Чтобы получить более подробную информа- 
цию о ней, см. справочные страницы. 


Управление контекстом безопасности файла 


Метки файлов имеют решающее значение для поддержания надлежащего контроля 
доступа к данным из файлов. $Е1лпих устанавливает метки безопасности файлов 
при установке и перезагрузке системы, когда ЗЕТлпих переключается из режима 
41заб1еа в любой другой. Чтобы увидеть текущую метку файла (она же контекст 
безопасности), используйте команду 1$ -7: 


# 15 -2 /еїс/раѕѕма 
-ги-г--Г--. гоо гоо ѕуѕёет и:објес г:еїс +:50 /еёс/раѕѕма 


Управлять метками контекста безопасности файлов можно с помощью несколь- 
ких команд (табл. 24.2). 


Таблица 24.2. Команды управления метками контекста безопасности 


Утилита Описание 


сһсаё Изменяет категории метки контекста безопасности файла 


сһћсоп Изменяет метки контекста безопасности файла 


бхћ1еѕ Вызывает команду гезбогесоп/зе ез 
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Утилита Описание 


гезбогесоп | Делает то же самое, что и утилита зе Нез, но у нее другой интерфейс 


зе ез Проверяет и/или исправляет метки контекста безопасности. Может быть 
запущена для проверки меток файлов и/или их смены при добавлении в систему 
нового модуля политики. Делает то же самое, что и команда геѕќогесоп, но у нее 
другой интерфейс 


Команды сһса+ и сһсоп, показанные в табл. 24.2, позволяют изменить кон- 
текст безопасности файла. В следующем примере команда сһсоп применяется 
для изменения пользователя 5Е пих, связанного с Ғі1е.іхі, от ипдеҒіпеа и 
к ѕуѕет и: 

# 15 -2 Ғі1е.іхі 

-ги-ги-г--. јоһпаое јоһпаое 
ипсопҒіпеа и:објесї г:иѕег һоте :50 Ғі1е.іхі 
# сһсоп -и ѕуѕ+ет и +11е.іхі 

# 15 -2 Ғі1е.іхі 

-ги-ги-г--. јоһпаое јоһпаое 

ѕуѕёет и:објесі г:иѕег һоме :50 +11е. хе 


Рассматривая табл. 24.2, обратите внимание на то, что команды +1х+11е$, 
геѕ+огесоп и зе 11е$ — это, по сути, одна и та же утилита. Однако геѕёогесоп чаще 
всего используется при фиксации меток файлов. Команда ге огесоп +11 епате 
возвращает файл в контекст безопасности по умолчанию. 


Управление контекстом безопасности процесса 


Процесс — это запущенная программа. Когда вы запускаете программы или службы 
в системе Глпих, каждой из них присваивается идентификатор процесса (см. главу 6 
«Управление активными процессами»). В системе с ЗЕТлпих процесс также имеет 
контекст безопасности. 

То, как процесс получает свой контекст безопасности, зависит от того, какой 
процесс его запустил. Помните, что процесс ѕуѕёета (ранее іпіё) является «ма- 
терью» всех процессов (см. главу 15 «Запуск и остановка служб»). Таким об- 
разом, многие демоны и процессы запускаются ѕуѕќета. Процессы, запускаемые 
ѕуѕета, получают новые контексты безопасности. Например, когда демон арасће 
запускается ѕуѕёета, ему присваивается тип (он же домен) һеёра +. Назначенный 
контекст обрабатывается политикой ЅЕ1іпих, написанной специально для этого 
демона. Если для процесса не существует политики, то ему присваивается тип по 
умолчанию ипсопҒіпеа_& 

Новый процесс (дочерний) программы или приложения, запущенного пользо- 
вателем (родительский процесс), наследует контекст безопасности пользователя. 
Конечно, это происходит только в том случае, если пользователю разрешено запу- 
скать программу. Процесс также может запускать программу. Дочерний процесс 
в этом случае тоже наследует контекст безопасности родительского процесса, 
то есть дочерний процесс выполняется в том же домене. 
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Таким образом, контекст безопасности процесса устанавливается перед за- 
пуском программы и зависит от того, кто ее запустил. Для изменения контекстов 
безопасности, в которых выполняется программа, можете использовать несколько 
команд: 


® гипсоп. Запустите программу, применяя параметры для определения пользова- 
теля, роли и типа (он же домен); 


® запаБох. Запустите программу в строго контролируемом домене (он же <пе- 
сочница»). 


При использовании команды гипсоп могут возникнуть проблемы, поэтому де- 
лайте это осторожно. Команда запабох более стабильна. Она позволяет тестировать 
новые программы в вашей системе Глпих. 


Управление правилами политики 5ЕИпих 


Правила политики — это правила, используемые 5Епих для определения того, 
имеет ли субъект доступ к объекту. Они группируются в пакеты, называемые также 
модулями, и устанавливаются вместе с ЗЕТлпих. Простой способ просмотреть модули 
в своей системе — применить команду ѕетоӣи1е -1. В ней перечисляются все модули 
политики и их номера версий. Пример политики для зетоди1е -1 показан далее: 


# ѕетоаи1е -1 
аргі 
ассоипёѕа 
ассі 

хѕегуег 
тарбіх 
тага+а 

терга 
топетіпаег 
тоѕгетоёе 


Существуют инструменты, которые могут помочь вам управлять собственными 
модулями политики и даже создавать их. Они перечислены в табл. 24.3 и доступны 
в операционной системе Еедога. 


Таблица 24.3. Инструменты управления пакетами политик 5ЕМпих 


Инструмент Описание 


ацііс2аПом Генерирует правила политики аПоҳ/Їопѓќаиі(1 из журналов 
запрещенных операций 


ацаіс2уућу Генерирует описание причины отказа в доступе из журналов 
запрещенных операций 


сһесктоаше Компилирует модули 


сһескроЇісу Компилирует политики ЗЕ тих 
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Инструмент 


Описание 


1оа4_ройсу 


Загружает новые политики в ядро 


зетоЧе_ехрапа 


Расширяет пакет модулей политики 


зетоЧе_ПпК 


Связывает пакеты модулей политики вместе 


ѕешойше раскаве 


Создает пакет из модуля политик 


Далее приведен пример политики, обычно используемой в качестве основы для 
создания локальных правил политики. Она довольно длинная, поэтому показана 


лишь часть: 


# са /иѕг/ѕһаге/аос/ѕе1іпих-ро1ісу/ехатр1е.+е 


ро1ісу тоаи1е(туарр, 1.0.0) 


ЕНЕНЕНЕНРНЕНЕНЕНЕНЕНЕВЕЕЕНЕЕНЕНЕНЕНЕНЕЕ НЕН ЕНАЕНЕЕНАРНЕНАРНАЕНАЕ 


# 
# Оес1агаёіопѕ 
# 


Журе туарр +; 


Туре туарр _ехес +; 
аотаіп Журе(туарр +) 
аотаіп епёгу #і1е(туарр +, туарр _ехес +) 


фуре туарр 10е +; 


Іорріпе 10р Ғі1е(туарр 1ор +) 


Журе туарр тр +; 


Ғі1еѕ тр _Ғі1е(туарр тр +) 


а11ом туарр + туарр тр +:+і1е тапаре Ғі1е регтѕ; 
Ғі1еѕ тр +і1еігапѕ (туарр +, туарр тр +, Ғі1е) 


# 


Из примера видно, что в коде политики используется специальный синтаксис. 
Чтобы создавать и изменять правила политики, вам нужно изучить синтаксис это- 
го языка правил политики, научиться применять компиляторы политик ЗЕ тах 
и связывать файлы правил политики для формирования модулей. Для этого вам, 
вероятно, потребуется пройти дополнительное обучение. В этот момент может 
возникнуть искушение отказаться от работы с системой ЗЕТлпих. Однако исполь- 
зовать логические типы для изменения политик гораздо проще. 


Управление 


ЅЕШпих через логические типы 


Написание правил политики ЗЕ пих и создание модулей — довольно сложная 
и трудоемкая работа. Создание неверных правил политики может поставить под 
угрозу безопасность вашей системы Глпих. К счастью, ЗЕГлпах работает с логиче- 


скими типами. 
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Логический тип — это своего рода тумблер, который включает или выключает 
настройки. Он позволяет изменять части правил политики ЗЕГ4пих, не изучая 
язык написания политики. Изменить политики можно и без перезагрузки си- 
стемы! 

Чтобы просмотреть список логических типов, используемых в ЗЕГлпих, задей- 
ствуйте команду веёѕероо1 -а. Далее приведен пример правила политики ЗЕ Мих 
с логическими типами в операционной системе Еедога и Глпих: 


# вефзеБоо1 -а 
абг{_апоп_мг1е --> о 
абг{_Папа1е_е\мепе --> о 


хѕегуег објес тапарег --> о 
таббіх сап пемогк --> оф 


Чтобы увидеть политику, которую можно изменить с помощью логического 
типа, снова используйте команду ве 5ебоо1. На этот раз ей передается имя поли- 
тики, как показано в следующем примере: 


# реїѕероо1 НЕЕра_сап_соппес®_+р 
ВЕЕра_сап_соппес®_ Фр --> о 


Для переключения политики можно использовать команду ѕеёѕероо1. Она вре- 
менно изменяет правило политики. Когда система перезагружается, логический 
тип возвращается в исходное значение. Если вам нужно, чтобы этот параметр был 
постоянным, можете применить команду ѕе&ѕероо1 с параметром -Р. 

Команда ѕеёѕебоо1 имеет шесть параметров: три параметра включения полити- 
ки (оп, 1 или гие) и три параметра ее выключения (о++, ё или Ға15е). 

Один из случаев использования команды ѕеёѕероо1 связан с ограничением 
применения исполняемых файлов. В некоторых ситуациях небезопасно позволять 
пользователям выполнять программы из своего каталога /һоте. Чтобы этого не про- 
изошло, правило политики а110м_и5ег_ехес_сопфепе должно быть отключено. 
В следующем примере команда ѕеѕероо1 используется именно для этого. Обратите 
внимание на то, что параметр -Р делает эту настройку постоянной: 


# ѕеїѕероо1 -Р а110м иѕег ехес сопЁепЕ о++ 


Команда реёѕебоо1 проверяет правильность установки логического типа: 


# реїѕероо1 а11ом_изег_ехес_сопфепе 
а110м изег_ехес_сопфепе --> о 


Логические типы значительно упрощают изменение текущих правил поли- 
тики 5Е пих. В целом утилиты настройки командной строки 5Е11пих, такие 
как реіѕероо1, просты в использовании. Однако у системы 5Е пих есть также 
инструмент настройки графического интерфейса. Он устанавливается с помощью 
команды уицт іпѕёа11 ро1ісусогеџёі15-виі. В дистрибутиве ОБипи примените 
команду зи40 ар*-ве* 1п5%а11 ро11сусогеи{11$. Чтобы задействовать этот ин- 
струмент, введите команду зузфет-соп18-зе11пих — и появится графический 
интерфейс. 
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Мониторинг и устранение неполадок 
в системе ЅЕШпих 


Система ЗЕ тих — это еще один инструмент для мониторинга вашей системы. 
Он регистрирует все отказы в доступе, что может помочь вам определить, была ли 
система атакована. Эти же файлы журнала ЗЕГлпих полезны и при устранении 
неполадок 5Е пих. 


Журнал Ѕ$ЕШпих 


ЗЕГлпах использует кэш, называемый кэшем вектора доступа (ассеѕѕ уесбог сасВе, 
АУС), при просмотре правил политики для конкретных контекстов безопасности. 
При отказе в доступе, называемом отказом АУС, сообщение об этом помещается 
в файл журнала. 

Сообщения об отказе могут помочь вам диагностировать и устранять обычные 
нарушения политики $Е11пих. Место сохранения сообщений об отказе зависит от 
состояния демонов аца1{а и гѕуѕ1орва. 


ө Если демон аџаі+а запущен, сообщения об отказе регистрируются в файле /маг/ 
105/аиа1{/аца1* .108. 

ө Если демон аџӣіёаіѕ не запущен, но запущен демон гѕуѕ1ова, сообщения об 
отказе регистрируются в файле /уаг/1о5/теззавез. 


ПРИМЕЧАНИЕ 


Если и ацаНа, и г5уз1094 запущены и в системе есть демон зе тои езпос{а, сообщения об отказе отправляются 
как в файлы журнала аийй. Іо, так и в файлы журнала теѕѕадеѕ. Однако информация об отказе в файле журнала 
теѕѕадеѕ сохраняется в формате, который демон ѕеїгоиЫеѕһооїй понимает лучше. 


Просмотр сообщений ЅЕШпих 


Если запущен демон аџаӣі+а, вы можете быстро увидеть, были ли зарегистрированы 
какие-либо отказы АУС с помощью команды аигерог*. В следующем примере по- 
казано использование команд аигерог* и ргер для поиска отказов АУС. По крайней 
мере один отказ был зарегистрирован в файле /маг/106/аџйіє/аџӣїі+.106: 


# аигероге | вгер АМС 
Митбег о# А\С'$: 1 


После обнаружения отказа АУС в журнале аиаі+.1ов вы можете использовать 
команду аиѕеагсһ для просмотра сообщений об отказе. В следующем примере 
показана команда ачзеагсй, применяемая для просмотра зарегистрированного со- 
общения об отказе АУС: 


# аиѕеагсһ -т амс 
+уре=АМС тѕр=аиӣ11(1580397837.344:274): аус: епіеа { вефаеег } Ғог 


24 


722 Часть М • Методы обеспечения безопасности в Ипих 


рій=1067 
сотт= "Һера" раёһ=" /маг/туѕегмег/ѕегуісеѕ" йеу="ат-@" 1по=655836 
ѕсопёехё=ѕуѕ+ет и: ѕуѕёет ғ: һёра +: 50 
ёсопбехё=ипсопҒіпеа и:објесі г:маг_ +:50 +с1а$$=+11е регтіѕѕіме=@ 


В примере отображается информация о том, кто пытался получить доступ, 
а также их контекст безопасности при попытке доступа. Ищите в сообщении об 
отказе АУС следующие ключевые слова: 


© туре=А\С; 

© а\ус: депіед; 

© сот= "Һера"; 

® ра+һ=" /маг/туѕегмуег/ѕегуісеѕ". 


Вывод команды дает достаточно данных, чтобы либо начать устранять пробле- 
му, либо отследить вредоносную активность. В примере каталог /маг/тузегуег/ 
ѕегуісеѕ имеет неправильный контекст файла 5Е11пих для чтения службой һ++ра. 


Просмотр сообщений ЅЕШпих в журнале сообщений 


Если у вас запущена служба аџаі+а, вы можете найти сообщения об отказе АУС, 
выполнив поиск в файле /уаг/1о5/аи@1+ /аца1*.1ов с помощью команды верер. 
Для последних систем ВНЕГ и Еедога или любой системы Глпих, использующей 
службу ѕуѕета, можете запустить команду јоигпа1с+1, чтобы проверить наличие 
сообщений журнала отказа АУС. Внутри каждого сообщения журнала находится 
сообщение АУС, позволяющее изучить информацию об этом отказе АУС, как 
в следующем примере: 
# јоигпа1с+1 | вгер АМС 
Фуре=А\С т$5=аиа1*(1580397837.346:275): аус: адеп1еа { вефаеег }Рог 
ріӣ=1067 
сотт= "Һера" раёһ=" /маг/туѕегмег/ѕегуісеѕ" деу="дт-0" 1по=655836 
ѕсопёехё=ѕуѕ+ет_и: ѕуѕёет г: һёра +: 50 
Есопёехё=ипсопҒіпеа и:објесі г:маг +:50 с1аѕѕ5=Ғі1е регт1$$1\е=0 


Поскольку вы знаете, что отказы АУС есть, можете передать весь файл /маг/ 
108 /аиаїі+/ аџаі+.106 в команду ѕеа1ег+, чтобы решить следующие проблемы: 


# зеа1егЕ -а /\уаг/1о5/аи@1*/аиа1+ .1о= 
ЅЕіпих 15 ргемепёіпв НЕЕрЯа гот вефаЕЕг ассеѕѕ оп Ёһе +11е 
/маг/туѕегмег/ѕегуісеѕ. 


жжжжж Р1ир1п саЄсһа11 (100. сопҒійепсе) зиврез{5 ***ж*жжжжжжжжх 


ІҒ уои бе1іеме һа НЕЕра ѕһои1а Бе а11омеа вефаЕг ассеѕѕ оп Ёһе 
ѕегмісеѕ Ғі1е Бу дефаи1*. 

Тһеп уои ѕһои1а герогї &һіѕ аѕ а бир. 

Үои сап репега+е а 1оса1 ро11су тоди1е Ёо а11ом +һіѕ ассеѕѕ. 

ро 

а11ом {11$ ассеѕ5 Ғог пом Бу ехеси{1тв: 
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# аиѕеагсһ -с 'НЕрЯ' --гам | аиді+2а11ом -М ту-һ+ёра 
# ѕетоаи1е -Х 300 -1 му-НЕЕра.рр 


дааіёіопа1 ІпҒогтаёіоп: 


Ѕоигсе Сопёехї ѕуѕ+ет и: ѕуѕёет г: һёёра &:50 
ТагвеЕ Сопфехе ипсопҒіпеа и: обес г:маг +: 50 
Тагре Објесёѕ /\аг/тузегуег/зегу1сез [ +11е ] 


Вам Аџаі Меѕѕареѕ 

+уре=АМС тѕр=аиӣ1+1(1580397837.346:275): аус: Яепіеа { ре+аїїг } 
Фог [р19=1067 сотт= "һёЄра" раёһ=" /маг/туѕегуег/ѕегуісеѕ" 4еу="ат-@" 
1п0=655836 ѕсопёехё=ѕуѕ+ет и: ѕуѕёет :һёёра +: 50 
Есопёехі=ипсопҒіпеа и:објесі г:маг 6:50 с1аѕ5=Ғі1е регтіѕѕіуе=0 
Наѕћ: ИЕЕра, ИЕЕра_+ , маг +, Ғі1е, вефаЕг 


В этом случае, если вы хотите разрешить службе НЕЕра доступ к содержимому 
запрещаемого каталога, можете запустить команды аиѕеагсћ и ѕетоаи1е, как в при- 
мере. Это создает и применяет новую политику 5Е пих, которая разрешает доступ 
к содержимому. При условии, что нет никаких других проблем с разрешениями, 
НЕфра должен получить доступ к этому контенту. 


Диагностика журналов ЅЕШпих 


Очевидно, что файлы журналов чрезвычайно важны для диагностики и устранения 
нарушений политики ЗЕ пах. Ведение файлов журнала или прямого запроса жур- 
нала ѕуѕ+ета (команда јоигпа1с+1) — это первые шаги по устранению неполадок 
ЅЕТіпих. Таким образом, важно убедиться, что ваша система Піпих регистрирует 
сообщения в первую очередь. 

Быстрый способ определить, ведется ли журнал, — проверить, работают ли 
соответствующие демоны: аџӣі+а, гѕуѕ1ова и/или ѕеёгоиб1еѕһоо+а. Используйте 
соответствующую команду, например зу$етсЕ1 ѕёа+иѕ аиа1 4. ѕегуісе. Конечно, 
применяемая команда зависит от вашего дистрибутива Глпих и его версии. Более 
подробную информацию см. в главе 15. Если демон не запущен, запустите его, 
чтобы начать ведение журнала. 


ВНИМАНИЕ! 


Иногда отказы АМС не регистрируются из-за правил политики опќаџай. Хотя правила допќаџаї помогают уменьшить 
количество ложных срабатываний в журналах, они могут вызвать проблемы при устранении неполадок. Чтобы ис- 
править ситуацию, временно отключите все правила политики дощацай с помощью команды зетодше -0В. 


Устранение распространенных проблем 5ЕИпих 


В начале работы с ЗЕТапах легко упустить из виду очевидное. Всякий раз, когда 
доступ оказывается запрещен, вы должны сначала проверить традиционные раз- 
решения пах РАС. Например, используйте команду 1$ -1 и дважды проверьте 
правильность назначений владельца файла, группы, чтения, записи и выполнения. 
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Что обычно может вызвать проблемы в системе Ѕ$Е пих: 


® применение нестандартного каталога для службы; 


использование нестандартного порта для службы; 


® перемещение файлов, которые приводят к потере меток контекста безопас- 
ности; 


ө неверно заданные логические типы. 


Любую из этих проблем можно довольно быстро решить. 


Использование нестандартного каталога для службы 


По разным причинам вы можете хранить файлы службы в нестандартном каталоге. 
Система $Е1іпих должна знать об этом. В противном случае она запрещает доступ 
к законным запросам доступа к услугам. 

Например, вы решили хранить свои НТМІ-файлы не в стандартном каталоге 
/маг/ммм/һет1, а в другом месте. Вы помещаете файлы в /абс/ммм/һт1. Необхо- 
димо сообщить ЗЕГлпих, что служба һер должна иметь доступ к файлам в /аБс/ 
мим/һт1. Команды для этого — ѕетапаве или геѕёогесоп. В следующем примере 
с их помощью добавляется соответствующий тип контекста безопасности в каталог 
/абс/ммм/Һті1: 


# зетапаёе Ғсопёех+ -а -Е һіёра 5уѕ_сопёепі © "/абс/ммм/һ&т1(/.*) 2" 


Чтобы фактически установить новый тип контекста безопасности для файлов 
в каталоге, нужно использовать команду геѕ&огесоп -К, например: 


# гезфогесоп -В -№ /абс/ммм/һЕт1 
# 15 -2 /абс/ммм/һЕм1 
ипсопҒіпеа и:објесі г:һёёра ѕуѕ сопёепї :50 абс 


Теперь демон Пера имеет разрешение на доступ к вашим НТМГ-файлам в не- 
стандартном каталоге. 


Использование нестандартного порта для службы 


Вы можете установить, что служба прослушивает нестандартный порт, так же, как 
и при решении описанной ранее проблемы. Когда вы меняете этот порт, служба 
перестает запускаться. 

Например, в целях безопасности вы решили перенести службу ѕѕһћа с 22-го пор- 
та на нестандартный порт 47 347. ЗЕТапих не знает об этом порте, и служба 
не запускается. Чтобы устранить эту проблему, сначала необходимо найти тип 
контекста безопасности для $5На. Для этого с помощью следующего кода вы- 
дается команда ѕетапаве рогі -1, а результаты передаются в команду вгер для 
поиска службы $5: 


# зетапаре рогі -1 | вгер ѕ5һ 
55һ рогі + ср 22 
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Здесь вы можете видеть, что необходимый тип контекста — 55ћ_рогї_+. Теперь, 
снова используя команду ѕетапаве, вы добавляете этот тип в порт 47 347: 
# зетапаёе роге -а -+ 55һ рогі © -р ср 47347 


# зетапаре роге -1 | вгер ѕ5һ 
55һ_ рог ср 47347, 22 


На этом этапе отредактируйте файл /еїс/55һ/55һа_сопғів, чтобы добавить 
в него строку порта 47 347. Затем перезапустите службу ѕ5ћа, чтобы она прослу- 
шивала нестандартный порт 47 347. 


Перемещение файлов и потеря меток контекста безопасности 


Вы использовали команду ср для временного перемещения файла из /еїс в каталог 
/&тр. Затем — команду ту, чтобы вернуть его обратно. Теперь вместо исходного 
контекста безопасности файл имеет контекст безопасности временного каталога, 
и ваша система получает сообщения об отказе АУС, когда служба, применяющая 
этот файл, пытается запустить его. 

Это легко исправить благодаря команде геѕёогесоп -В. Просто введите команду 
геѕогесоп, и файл восстановит свой постоянный контекст безопасности. 


Неверно заданные логические типы 


Еще одна распространенная проблема — неправильная установка логического типа, 
которая выдает несколько отказов АУС. 

Например, если скрипты вашей системы больше не могут подключаться к сети 
и вы получаете отказы АУС в журналах, нужно проверить логические типы һ++ра. 
Используйте команду реїѕероо1 -а и передайте ее в команду егер для поиска 
любых логических типов, влияющих на службу Пера. В примере показано, как 
используются эти команды: 


# рефзебоо1 -а | ргер Пр 


ВЕЕра_сап_пефмогК_соппесе --> о 


Команда ве зеБоо1 показывает, что логический тип ВЕра_сап_пемогК_соппес& 
установлен в значение о++. Чтобы изменить логический тип, используйте команду 
5е{5ебоо1 -Р ПЕЕра_сап_пефмогК_соппес{ оп. 

Обратите внимание: параметр -Р использован для того, чтобы сделать настройку 
постоянной. Теперь ваши скрипты могут подключаться к сети. 


Выводы о ЅЕШпих 


Очевидно, что система ЗЕГлпих — довольно сложный и масштабный инструмент. 
Теперь вы больше знаете о ее основных функциях. Дадим некоторые рекомендации, 
которые стоит учесть при внедрении ЗЕ пах в свою систему. 
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Режим +агрефед по умолчанию может использоваться для защиты большинства 


основных сетевых служб (пера, м5 ра, Ѕатђа и т. д.), при этом не нужно назначать 
специальные роли пользователей или иным образом блокировать вашу систему. 
В этом случае главное — поместить файлы в стандартные места (или выполнить 
команды для назначения соответствующих контекстов файлов нестандартными), 
убедиться, что логические типы включены для менее безопасных функций, и про- 
смотреть отказы АУС, чтобы узнать, вызывают ли они проблемы. 


Начните с разрешительного режима работы. Он позволяет успешно выполнять 
запросы, которые ЗЕГлпих считает небезопасными. 


Запускайте текущую систему в течение значительного времени в разрешитель- 
ном режиме. Просмотрите журналы на предмет того, какие проблемы могут 
возникнуть с настройками ЗЕГлпих по умолчанию. Затем можете изменить 
логические типы или контексты файлов так, чтобы функции, запрещенные 
неправильно, могли быть разрешены. После того как проблемы будут решены, 
включите принудительный режим. 


В целом реализуйте изменения конфигурации 5Е их по одному за раз в тесто- 
вой среде или в разрешительном режиме. Посмотрите, какой эффект дает каждое 
изменение конфигурации, прежде чем переходить к следующему. Затем можете 
использовать команду аи@1{2а11ом, чтобы выборочно разрешать действия для 
службы, которые остановлены отказами АУС. 


Больше информации о ЅЕШпих 


Несколько дополнительных источников информации могут помочь в работе 
с ЗЕ ших в системе Глпих. 


Справочные страницы системы. Выполните команду тап -К ѕе1іпих, чтобы 
найти все справочные страницы для утилит ЗЕ пих, установленных в на- 
стоящее время в вашей системе. Если вы отлаживаете проблемы $Е11іпих для 
хорошо известной службы, например Ира, $ ра, Ѕатђа и т. д., то, вероятно, 
существует справочная страница, связанная с тем, как исправить проблемы 
5Епих именно с ней. 


Руководства Тһе Кеа На Епќегргіѕе Глпих Мапиа[$. Сайт ӣосѕ.гедћаё.сот со- 
держит полное руководство по системе 5Е11пих. 


Руководство Тће Еейога Ргојесё ЗЕ пих Сие. На сайте ѕеііпихргојесі.ого име- 
ется полноценный гайд по ЗЕГлтах. Однако руководство обновляется не для 
каждой версии Еедога, поэтому вам, возможно, придется поискать информацию 
в более старых версиях. Кроме того, руководства ЗЕТапих нет в руководстве 
безопасности Ѕесигібу тапиа[, и его тоже стоит изучить. 


Вики-страница ЗЕТлпих Ргојесё ҰіКі. Это официальная страница проекта 
5Епих. Часть ресурсов доступна на сайте зейпихргодесе.огд. 
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Резюме 


ЗЕПпих обеспечивает повышение безопасности Глпих и устанавливается по 
умолчанию во многих ее дистрибутивах. В этой главе вы узнали о преимуществах 
системы ЗЕГлпих, о том, как она работает, как ее настроить, как устранить различ- 
ные проблемы с ней и как получить дополнительную информацию об этой важной 
части повышенной безопасности. 

На первый взгляд ЗЕ тих кажется довольно сложным инструментом. Однако 
если разбить его работу на компоненты — режимы работы, контексты безопасности, 
типы политик и пакеты политик, — видно, как различные части работают вместе. 
Каждый компонент играет важную роль в обеспечении и тестировании выбранных 
требований безопасности для вашей организации. 

Вы также узнали о различных действиях, доступных для настройки 5Е пих. 
Несмотря на то что система ЗЕГлпих предварительно настроена, может потре- 
боваться внести некоторые изменения для удовлетворения потребностей вашей 
организации в области безопасности. Каждый компонент имеет собственные 
настройки и конфигурации. Хотя создание правил политики мы не рассматрива- 
ли, вы узнали, как изменять предоставленные политики с помощью логических 
ТИПОВ. 

ЅЕТіпих имеет еще один инструмент для мониторинга безопасности вашей 
системы Глпих. Поскольку 5Е пих регистрирует все отказы в доступе, она может 
помочь определить, была ли предпринята атака на вашу систему. Даже самые 
продуманные планы могут провалиться. Поэтому в этой главе вы узнали, как ис- 
править распространенные проблемы конфигурации ЗЕГлпих. 

В следующей главе поговорим о том, как защитить вашу систему Глпих в сети. 
Вы узнаете о контроле доступа, управлении брандмауэрами и защите удаленного 
доступа. 


Упражнения 


С помощью этих упражнений проверьте свои знания о системе ЗЕГлпих. Задачи 
подходят для систем Еейога или Вей Наб Ещегризе Глпих (некоторые сработают 
и в других системах пих). Если затрудняетесь с решением заданий, воспользуй- 
тесь ответами к упражнениям, приведенными в приложении Б (хотя Глпих позво- 
ляет решать задачи разными способами). 


1. Не внося никаких изменений в основной файл конфигурации 5Е11пих, ис- 
пользуйте нужную команду, чтобы перевести систему в разрешительный режим 
работы ЅЕ11іпих. 


2. Не внося никаких изменений в основной файл конфигурации 5Е1пих, исполь- 
зуйте нужную команду, чтобы перевести систему в принудительный режим для 
ЗЕ их. 
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10. 


Какие текущие и постоянные типы политик 5Е тих установлены в вашей 
системе и как вы их нашли? 


Перечислите контекст безопасности для файла /еёс/һоѕ&ѕ и определите его 
атрибуты. 


Создайте файл с именем +еѕ+.һёт1 в своем домашнем каталоге и назначьте ему 
тип ВЕЕра_зу$_сопфепе_+. (Это делается для того, чтобы контент был доступен 
для совместного использования вашим веб-сервером за пределами общего ка- 
талога /маг/мим/ В т1.) 


Перечислите контекст безопасности для запущенного процесса сгопа и опреде- 
лите его атрибуты. 


Создайте файл с именем /еёс/+еѕі.+х+, измените его контекст файла на изег_ 
тр_+, восстановите правильное содержимое (контекст по умолчанию для 
каталога /еёс) и удалите файл. Используйте команду 1$ -7 /ес/ёеѕї.іхї для 
проверки файла в каждой точке процесса. 

У вас есть Шєр-сервер в частной сети, и вы хотите разрешить анонимную запись 
и доступ к домашнему каталогу службы +#+р (ЗЕТапих находится в принуди- 
тельном режиме). Определите, какие логические типы разрешают анонимную 
запись и доступ к домашнему каталогу службы + +Ер, и включите их. 


Какая команда перечисляет все модули политики ЗЕПпих в вашей системе 
вместе с номером их версии? 


Укажите ЗЕТлпах разрешить доступ к службе ѕ5ћа через ТСР-порт 54 903. 


Защита Ипих 
в сети 


В этой главе 


= Управление сетевыми службами. 
= Управление доступом к сетевым службам. 
ш Работа брандмауэров. 


Настройка системы Ііпих в сети, особенно общедоступной, создает целый ряд но- 
вых проблем, когда речь заходит о безопасности. Лучший способ защитить систему 
Тіпих — это отключить ее от всех сетей. Обычно это неосуществимо. Множество 
книг написано о том, как защитить компьютерную систему в сети. Многие орга- 
низации нанимают штатных администраторов компьютерной безопасности для 
наблюдения за своими системами Глпих. Поэтому главу можно рассматривать как 
краткое введение в защиту Гіпих в сети. 


Аудит сетевых служб 


Большинство систем Глпих, работающих на крупных предприятиях, настроены 
как серверы, которые по сети предлагают различные службы удаленным клиентам. 
Сетевая служба — это любая задача, выполняемая компьютером, для которой тре- 
буются отправка и получение информации по сети с использованием предопреде- 
ленного набора правил. Маршрутизация электронной почты — это сетевая служба, 
как и обслуживание веб-страниц. 

Сервер пих имеет потенциал для предоставления тысяч услуг. Многие из них 
перечислены в файле /еёс/ѕегуісеѕ. Рассмотрим следующие разделы этого файла: 
$ саї /еїс/ѕегуісеѕ 
# /ес/ѕегуісеѕ: 

# $14: ѕегуісеѕ,у 1.55 2013/04/14 оуаѕік Ехр $ 

# 

# МефмогК ѕегуісеѕ, Тпфегпеф ѕёу1е 

# ТАМА ѕегуүісеѕ мегѕіоп: 1аѕ+ ираа+еа 2013-04-10 
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# 
# Може һат ії 15$ ргеѕеп+1у +һе ро1ісу оф ТАМА +0 аѕѕірп ... 
# Еасһ 11пе Яеѕсгібеѕ опе ѕегуісе, апа 1$ оф {Пе Ғогт: 


# 

# ѕегуісе-пате рогЕ/ргофосо1 [а1іаѕеѕ ...] [# соттеп*] 

есһо 7/Еср 

есһо 7/чар 

аіѕсага 9/%ср ѕіпк пи11 

аіѕсага 9/иар ѕіпк пи11 

ѕуѕ+а+ї 11/Еср иѕегѕ 

уфа 11/иар иѕегѕ 

аауёіте 13/Еср 

ау 1те 13/иар 

до+а 17/&ср ачоёе 

до+а 17/иар ачоёе 

сһагвеп 19/Еср ЕТУЕ$Е ѕоигсе 

сһагвеп 19/иар їуёѕ ѕоигсе 

ҒЕр-аа+а 20/+ср 

ҒЕр-аа+а 20/иар 

# 21 15 геріѕёегеа фо р, бит а1ѕо иѕеа Бу #ѕр 

ҒЕр 21/Еср 

һер 80/+ср млм ммм Һр # мог1аліаемеб НТТР 
һер 8е/иар млм ммм Һр # НурегТехЕ Тгапѕ+Ғег 
Ргоосо1 

һер 80/5сЕр # НурегТехЕ Тгапѕ+Ғег 
Ргофосо1 

КегБего$ 88/Еср Кегрего$5 Кеь5 # Кегрегоѕ \5 
Ккегбегоѕ 88/иар Кегрего$5 Кеь5 # Кегрегоѕ \5 

1р5 48129/иар # В1оотбегя 1оса+ог 
сот-Багдас-9ди 48556/&ср # сот-Багдас-о@м 
сот-Багдас-ди 48556/иар # сот-Багдас-@м 

іаобјес+ї 48619/+ср # ідобјес+ 

іаобјес+ї 48619/иар # ідобјес+ 


Обратите внимание на три столбца информации, идущих после строк с ком- 
ментариями. Левый столбец содержит названия всех служб. Средний определяет 
номер порта и тип протокола, используемого для этой службы. Правый содержит 
необязательный псевдоним или список псевдонимов для службы. 

Многие дистрибутивы Піпих поставляются с запущенными ненужными сетевыми 
службами. Такая служба угрожает безопасности вашей системы Глпах. Например, 
если ваш сервер Глпих является сервером печати, то он должен оказывать только 
услуги печати и не должен задействовать веб-сервисы АрасВе. Из-за этого ваш сер- 
вер печати может без необходимости подвергнуться любым вредоносным атакам, 
использующим уязвимости веб-служб. 

Первоначально ограничение количества служб в системах Глпих означало уста- 
новку отдельных физических серверов Глпих, на каждом из которых работали всего 
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несколько служб. Позже запуск нескольких виртуальных машин Глпах на физи- 
ческом хосте позволил заблокировать небольшие наборы служб на виртуальных 
машинах. В последнее время контейнерные приложения позволяют запускать на 
каждом физическом узле гораздо больше отдельных и защищенных служб. 


Оценка доступа к сетевым службам 
с помощью команды птар 


Замечательный инструмент, который поможет вам просмотреть свои сетевые служ- 
бы с точки зрения сети, — это сканер безопасности птар. Утилита птар доступна 
в большинстве дистрибутивных репозиториев Глпих. Веб-страница инструмента — 
это птар.огд. 

Чтобы установить инструмент птар в дистрибутив Ее4ога или ВНЕТ, задей- 
ствуйте команды уит и ап# (применяя привилегии суперпользователя), как по- 
казано в следующем примере: 


# уит 11$%а11 птар -у 

Орааёіпе ѕибѕсгірііоп Мапаветепе героѕі+огіеѕ. 

[аз мефадафа ехріга+іоп сһеск: 0:03:41 аро оп Ѕа+ 12 Осі 2019 
11:24:07 РМ ЕРТ. 

Рререпӣепсіеѕ геѕо1муеа. 


Раскаре Агсһ Мегѕіоп Кероѕі+огу $17е 
ІпѕЁа11іпе: 

птар х86 64 2:7.70-4.е18 гһе1-8-Ғог-х86 64-аррѕігеат-гртѕ 
5.8 М 


Тгапѕасёіоп Ѕиттагу 


Іпѕ+а11 1 Раскаре 


Тофа1 домп1оаа $12е: 5.8 М 
Іпѕёа11еа $17е: 24 М 


ІпѕЁа11еа: 
птар-2:7.70-4.е18.х86 64 


Сотр1е+е! 


Чтобы установить утилиту птар в дистрибутив ОБипи, введите команду зидо 
ар-ре+ іпѕёа11 птар в командной строке. 

Полное название утилиты птар — Мебуогк Маррег. Она имеет множество 
функций для аудита безопасности и исследования сети. Сканирование различных 
портов с помощью птар позволяет увидеть, какие службы работают на всех серверах 
вашей локальной сети и сообщают ли они о своей доступности. 


732 Часть М • Методы обеспечения безопасности в пих 


ПРИМЕЧАНИЕ 


Что такое порт? Порты, точнее, сетевые порты — это числовые значения, используемые сетевыми протокола- 
ми ТСР и ПОР в качестве точек доступа к службам в системе. Стандартные номера портов назначаются службам 
таким образом, чтобы служба знала, что нужно прослушивать определенный номер порта, а клиент знал, что 
нужно запрашивать службу по этому номеру порта. Например, порт 80 — это стандартный сетевой порт для не- 
зашифрованного (НТТР) трафика веб-службы Арасће. Так что, если вы введете в браузере \/\ми\м.ехатр/е.сот, он 
предположит, что вы собираетесь использовать ТСР-порт 80 на сервере. Представьте, что сетевой порт — это как 
дверь на сервер Шпих. Все двери пронумерованы, и за каждой из них находится особая служба, готовая помочь 
тому, кто постучит в эту дверь. 


Для проверки портов вашего сервера утилита птар предлагает несколько типов 
сканирования. На сайте птар Һр://птар.ого/Боок/тап-роќ-ѕсаппіпо-ќесһпідиеѕ.һті есть 
полное руководство по всем методам сканирования портов, которые вы можете 
использовать. Вот два основных способа сканирования, с которых можно начать 
аудит службы. 


® ТСР Соппесі рогі $сап. Для реализации этого способа птар пытается подклю- 
читься к портам, применяющим протокол управления передачей (ТСР) на сер- 
вере. Если порт прослушивается, попытка подключения завершается успешно. 


ТСР — это сетевой протокол, используемый в наборе сетевых протоколов ТСР/ 
ТР. Он ориентирован на соединение. Его основная цель — договориться и ини- 
циировать соединение с помощью так называемого тройного рукопожатия. ТСР 
отправляет пакет синхронизации (ЗУМ) на удаленный сервер, указывая в нем 
конкретный номер порта. Удаленный сервер получает ЗУМ и отвечает исходя- 
щему компьютеру пакетом подтверждения (ЗУМ-АСК). Затем исходный сервер 
подтверждает (АСК) ответ, и ТСР-соединение устанавливается. Это тройное 
рукопожатие часто называют ЗУМ-ЗУМ-АСК или УМ, 5ҮМ-АСК, АСК. 


Если вы выберете сканирование порта ТСР Соппесі, утилита птар использу- 
ет тройное рукопожатие для выполнения небольших действий на удаленном 
сервере. Любые службы, применяющие протокол ТСР, будут реагировать на 
сканирование. 


е ПОР рок $сап. Для сканирования этим способом птар отправляет ОЮР-пакет 
на каждый порт сканируемой системы. СОР — еще один популярный протокол 
в наборе сетевых протоколов ТСР/ТР. Однако, в отличие от ТСР, ОРЮР — это 
протокол без подключения. Если порт прослушивает и имеет службу, использу- 
ющую протокол ОПР, он реагирует на сканирование. 


СОВЕТ 


Имейте в виду, что свободное программное обеспечение с открытым кодом (їгее апі ореп ѕошсе зоН\маге, РО55) 
доступно и злоумышленникам. Пока вы выполняете проверки с помощью утилиты птар, помните, что результа- 
ты удаленного сканирования, которые вы видите для сервера пих, увидят и другие пользователи. Это поможет 
вам оценить параметры безопасности своей системы с точки зрения того, сколько информации выдается для ска- 
нирования портов. Вы должны применять инструмент птар только в собственных системах, потому что сканирова- 
ние портов на компьютерах других людей может создать впечатление, что вы пытаетесь взломать систему. 
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При запуске утилита птар представляет удобный небольшой отчет с инфор- 
мацией о системе, которую вы сканируете, и портах, которые она видит. Портам 
присваивается определенный статус. Утилита сообщает о шести возможных со- 
стояниях порта. 


® ореп. Это самое опасное состояние порта, которое может выявить сканирование 
птар. Открытый порт указывает на то, что у сервера есть служба, обрабатыва- 
ющая запросы на этом порте. Представьте, что это табличка на двери: «Входите! 
Мы поможем вам». Конечно, при условии, что вы действительно предлагаете 
любому воспользоваться этой службой. 


© с10о5ед. Доступ к порту с1оѕеа возможен, но по ту сторону двери нет никакой 
службы. Однако состояние сканирования по-прежнему указывает на наличие 
сервера Глпих по этому конкретному ІР-адресу. 


© +ғі1тегеа. Это наилучшее состояние для защиты порта, доступ к которому дол- 
жен быть ограничен. Невозможно определить, действительно ли сервер Глпих 
находится на сканируемом ІР-адресе. Вполне вероятно, что служба может 
прослушивать определенный порт, но брандмауэр блокирует доступ к этому 
порту, эффективно предотвращая любой доступ к службе через определенный 
сетевой интерфейс. 


© ипғі1+егеа. Сканирование с помощью утилиты птар видит порт, но не может 
определить его состояние: ореп или с1оѕеа. 


© ореп|+114егед. Сканирование при помощи птар видит порт, но не может опре- 
делить его состояние — ореп или #Ғі1+егеа. 


© с1о5ед | Ғі1+егеа. Сканирование посредством утилиты птар видит порт, но 
не может определить его состояние — с1о5е4 или #і1+егеа. 


Чтобы лучше понять, как использовать утилиту птар, рассмотрим следующий 
пример. Для построения списка сетевых служб здесь сканирование птар выполня- 
ется в системе Еейога. Первое сканирование — это сканирование ТСР Соппесі из 
командной строки с помощью адреса обратной связи 127.0.0.1: 

# птар -$Т 127.0.0.1 


Ѕагііпе Мтар 7.70 ( НЕЕр$://птар.ог ) а 2020-1-10 11:47 ЕОТ 
№пар ѕсап герогЕ +ог 1оса1һоѕі (127.0.0.1) 


Ноѕ& 15 ир (0.0165 Тафепсу). 
Моє ѕһомп: 998 с1оѕеа рог+ѕ 


РОВТ ЅТАТЕ ЅЕКМІСЕ 
25/+ср ореп ѕмЕр 
631/+ср ореп ірр 


М№пар опе: 1 ТР адаге$$ (1 һоѕЁ ир) ѕсаппеа іп 1.34 ѕесопӣѕ 25 


Сканирование ТСР Соппесё сообщает, что два ТСР-порта открыты и службы 
прослушивают запросы к ним на локальном хосте (127.0.0.1). 


® Простой протокол передачи почты (Зпар!е Май Тгарѕѓег Ргобосо|, ЗМТР) про- 
слушивается через порт ТСР 25. 
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® Протокол межсетевой печати (Іпќегпеё Ргіпііпе Ргобосо|, ІРР) прослушивается 
через порт ТСР 631. 


Следующее сканирование птар — это ЧОР-сканирование по адресу интернет- 
протокола юорБасК системы Ее4ога. 


# птар -50 127.0.0.1 


Ѕ+агііпв №пар 7.70 ( НЕЕр$://птар.огё ) а 2020-1-10 11:48 Ерт 
М№ар ѕсап герогі Фог 1оса1һоѕі (127.0.0.1) 

Ноѕе 15 ир (0.000485 1а+епсу). 

№1 ѕһомп: 997 с1оѕеа рог+ѕ 


РОВТ ЅТАТЕ ЅЕКМІСЕ 

68/ифр ореп | Ғі1+егеа аһсрс 

631/иар ореп | Ғі1+егеа ірр 

М№ар опе: 1 ТР айӣгеѕѕ (1 Поз ир) ѕсаппеа іп 2.24 ѕесопӣѕ 


Сканирование ОПР птар сообщает, что два ООР-порта открыты и службы про- 
слушивают их. 


® Протокол динамической настройки узла (Оупатіс Ноѕі СопігоЇ Ргофосо|, аһсрс) 
прослушивает порт 68. 


® Протокол межсетевой печати прослушивает порт 631. 


Обратите внимание на то, что порт ІРР 631 сканируется по протоколам и ТСР, 
и ОРЮР, поскольку служба ІРР может взаимодействовать через ТСР- и Орр- 
протокол и, таким образом, отображается в обоих случаях. 

Используя эти два простых способа сканирования птар, ТСР Соппесё и (ОР 
на адресе интернет-протокола оорБаск, вы можете узнать список сетевых служб, 
предлагаемых вашим Глпих-сервером. Имейте в виду, что номера портов связаны 
с определенным протоколом (ТСР или ПОР) и определенным сетевым интерфей- 
сом. Например, если у вас есть одна карта сетевого интерфейса (МС) на компью- 
тере, выходящем в Интернет, и другая, на выходящем в частную сеть, вы можете 
оказывать частные услуги (например, услугу СОР5 для печати) в частной сети. 
Однако, скорее всего, потребуется отфильтровать этот порт (631) на сетевой карте, 
выходящей в Интернет. 


Применение утилиты птар для аудита 
широковещательных сетевых служб 


Вы, вероятно, хотите, чтобы ваш сайт посещали много людей (служба Вера). 
Вероятно, вы не хотите, чтобы все пользователи Интернета могли получить до- 
ступ к вашим файловым ресурсам 5МВ (служба тб). Чтобы убедиться, что вы 
правильно разделяете доступ к этим двум типам служб, необходимо проверить, 
какие службы, доступные на ваших общедоступных сетевых интерфейсах, видны 
вредоносному сканеру. 
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Суть этих действий состоит в том, чтобы сравнить, как выглядит ваш [іпих- 
сервер изнутри и снаружи. Если вы определили, что сетевые службы, которые 
должны быть закрыты, доступны для других, необходимо заблокировать доступ 
к ним с внешних интерфейсов. 


СОВЕТ 


Может возникнуть соблазн не выполнять сканирование из внутренней сети вашей организации. Так поступать 
не стоит. Вредоносную деятельность часто ведут сами сотрудники компании или кто-то, кто уже проник через 
внешнюю защиту. И здесь утилита птар очень помогает. Чтобы получить правильное представление о том, какие 
порты вашего Мпих-сервера видны, нужно провести сканирование из нескольких мест. Например, простой аудит 
настроил бы сканирование: 


= насамом сервере пих; 
= с другого сервера в той же сети организации; 
= за пределами сети организации. 


В следующих примерах выполняется часть простого аудита. Утилита птар за- 
пускается в системе Еейога, обозначенной как Ноѕі-А. Ноѕі-А — это сервер их, 
сетевые службы которого должны быть защищены. Ноз(-В — это Глпих-сервер, ис- 
пользующий дистрибутив [лпих Мшё и находящийся в той же сети, что и Но$(-А. 


СОВЕТ 


При проведении аудиторских проверок следует учитывать параметры безопасности различных сетевых компо- 
нентов, таких как брандмауэр сервера и маршрутизаторы компании. 


В этом примере аудита сканирование выполняется с хоста-А с использованием 
не адреса обратной связи, а фактического ІР-адреса. Сначала ІР-адрес для Ноѕі-А 
определяется с помощью команды ір аааӣг Ном. ІР-адрес — 10.140.67.23: 


# ір аааг ѕһом 
Ғсоп+ів 
1: 10: <ЕООРВАСК ‚УР ‚ ГОМЕК_УР> шеи 65536 441$с подиеие ѕёае ОМКМОММ 
5гоир де+Ғаи1+ д1еп 1000 
1іпк/1оорбаск 900:00:00:00:00:00 Бга 90:00:00:00:00:00 
іпеё 127.0.0.1/8 ѕсоре Поз+ 1о 
уа1іа Іғі Ғогемег ргеҒеггеа 1#6 Фогеуег 
іпеёб ::1/128 ѕсоре һоѕі 
уа1іа Іғі Ғогемег ргеҒеггеа 1Ғ6 Фогемег 
2: еп$3: <ВКОАРсСАЅТ,МОІТІСАЅТ, ОР, ГОМЕК_УР> шеи 1500 дааіѕс #д соде1 
5фафе ОР ргоир еҒаи1+ д1еп 1000 
1іпк/еЁһћег 52:54:00:с4:27:4е рга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ 
іпе 10.140.67.23/24 бга 10.140.67.255 ѕсоре р1ора1 Яупатіс 
поргеҒіхгои+е епѕ3 
\а114_1++ 32775ес ргееггед_1+Е 32775ес 
іпеб +Ғе80: :5036:9ес3:2ае8:7623/64 ѕсоре 1іпк поргеҒіхгои+е 
уа1іа Іғі Ғогемег ргеҒеггеа 1Ғ6 Ғогеуег 
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Затем с помощью ІР-адреса Ноѕї-А сканирование птар ТСР Соппесї выпол- 
няется с Ноѕі-А. Сканирование птар переходит в сеть для продолжения работы. 
У всех портов статус с1оѕеаӣ: 


# птар -$Т 10.140.67.23 
Ѕ+агііпв №пар 7.80 ( НЕЁр$://птар.огё ) а 2020-1-31 11:53 Ерт 


М№ар ѕсап герогЕ Фог гһе18 (10.140.67.23) 


Ноѕе 15 ир (0.0105 1афепсу). 
А11 1000 ѕсаппеа рогіѕ оп 10.140.67.23 аге с1оѕеа 


М№ар опе: 1 ТР айӣгеѕѕ (1 Поз ир) ѕсаппеа іп 1.48 ѕесопӣѕ 


Сканирование птар перемещается с Ноѕі-А на Но$-В. Теперь сканирование 
ТСР Соппес выполняется на портах Но${-А из командной строки Но$-В: 


$ птар -$Т 10.140.67.23 
Ѕ+агііпе Мтар 7.80 ( ИЕЕр$://птар.огё ) а 2020-1-31 11:57 Ерт 


Мое: Ноѕе зеетз 4омп. ІҒ 1% 15$ геа11у ир, 
ри Б1осК1пЕ оиг ріпе ргобез$, гу -РМ 


№тар опе: 1 ІР адагез$ (@ һоѕіѕ ир) ѕсаппеЯ іп 9.11 ѕесопӣѕ 


В рассмотренном примере утилита птар дает полезную подсказку. Но$-А, 
похоже, не работает или просто блокирует попытки подключения. Поэтому пред- 
принимается еще одна попытка сканирования птар с хоста Ноѕі-В, причем птар 
приказано отключить пинг с помощью параметра -РМ: 


$ пмар -$Т -РМ 10.140.67.23 
Зфаг{1п= №пар 7.80 ( ИЕЁр$://птар.огё ) а 2020-1-31 11:58 Ерт 
М№пар ѕсап герогЕ Фог гһе18 (10.140.67.23) 


Ноѕе 15 ир (0.00155 1Іа+епсу). 
А11 1000 ѕсаппеа рогіѕ оп 10.140.67.23 аге Ғі1+егеа 


М№ар опе: 1 ТР айӣгеѕѕ (1 һоѕҰ ир) ѕсаппеа іп 5.54 ѕесопӣѕ 


В примере видно, что Ноѕі-А (10.140.67.23) запущен и работает и все его пор- 
ты имеют статус Ғі1еегеа. Это означает, что на Ноѕі-А установлен брандмауэр. 
Сканирование с Ноѕі-В позволяет лучше понять, что может увидеть вредоносный 
сканер при сканировании Гіпих-сервера. Здесь вредоносный сканер почти ничего 
не увидит. 


ПРИМЕЧАНИЕ 


Если вам известна утилита птар, то вы знаете, что сканирование ТСР $ҮМ№ — это реализуемое ею сканирование по 
умолчанию. ТСР 5ҮМ ѕсап отлично справляется с исследованием удаленной системы в скрытом режиме. Поскольку 
вы изучаете собственную систему в целях аудита безопасности, имеет смысл использовать более тяжеловесные 
утилиты сканирования птар. Для сканирования ТСР ҮМ ѕсап необходимо ввести команду птар -55 ір_аййгеѕѕ. 
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Службы, работающие в настоящее время на Ноз(-А, не так уж интересны. В сле- 
дующем примере другая служба, ѕ5ћа, запускается на Но$(-А с помощью команды 
ѕуѕёетс+1 (см. главу 15 «Запуск и остановка служб»). Эта служба интереснее для 
сканирования утилитой птар: 


# Ѕуѕ+етсё1 зФагф ѕ5һа. ѕегуісе 
# зузетсЕ1 $Фафи$ 55һа. ѕегуісе 
• Ѕѕ5һа.ѕегуісе — Ореп55Н зегуег аетоп 
Іоайеа: 1Іоааеа (/иѕг/11і6Ь/ѕуѕ+ета/ѕуѕет/ѕ5һа.ѕегмісе; епаб1еа; 
уепаог ргезе*: епаб1еа) 
Асііме: асііме (гипп1пё) ѕіпсе Егі 2020-1-30 15:08:29 Ерт; 1 дау 
20һ аро 
росѕ: мап: 55һ(8) 
тап: $$П4_соп+15(5) 
Маіп РТО: 807 (55һа) 
Таѕкѕ: 1 (111%: 12244) 
Метогу: 10.9М 
Сбгоир: /ѕуѕёет. ѕ51ісе/ѕ5һа.ѕегуісе 
Г 807 /изг/з64п/$$На -0 -оСірһегѕ=... 


Кроме того, поскольку брандмауэр Ноѕі-А блокирует сканирование птар от 
Ноз-В, было бы интересно посмотреть, что может сообщить птар, когда брандмауэр 
не работает. В следующем примере показано, что брандмауэр отключен на Ноѕі-А 
для системы Еедога 21 или КНЕТ.7 (для других систем вам, вероятно, потребуется 
отключить службу ірёаб1еѕ): 


# Ѕуѕ+етсё1 $Фор Ғігема114.5егуісе 
# Ѕуѕ+етсё1 зФафи$ Ғігема114.5ѕегуісе 


При запущенной новой службе и отключенном брандмауэре Ноѕі-А сканирова- 
ние птар должно что-то найти. В следующем примере сканирование птар выполня- 
ется снова с Но$-В. На этот раз утилита птар показывает службу $$1, работающую 
на открытом порте 22. Обратите внимание на то, что при отключенном брандмауэре 
на Ноз(-А оба сканирования птар собирают гораздо больше информации. Это дей- 
ствительно демонстрирует важность брандмауэра вашего Глпих-сервера: 


# птар -$Т 10.140.67.23 

Ѕёагііпе Мтар 7.80 ( Һр: //птар.оге ) аё 2020-1-31 11:58 Ерт 
№тар ѕсап герогЕ Фог 10.140.67.23 

Ноѕ& 15 ир (0.0165 1а+епсу). 

№ ѕһомп: 999 с1оѕеа рог+ѕ 


РОВТ ЅТАТЕ ЅЕКМІСЕ 
22/+ср ореп ѕЅһ 
М№пар опе: 1 ТР адаге$$ (1 һоѕЁ ир) ѕсаппеа іп 0.40 ѕесопӣѕ 


# птар -50 10.140.67.23 

[5000] раѕѕмога Фог јоһпӣое: ******жжжжжжжж% 

Ѕёагііпе Мтар 5.21 ( Һһёр://птар.оге ) а 2020-1-31 11:59 Ерт 
М№пар ѕсап герогЕ Фог 10.140.67.23 

Ноѕ& 15 ир (0.000725 1аїепсу). 

№ ѕһомп: 997 с1оѕеа рог+ѕ 
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РОКТ ЅТАТЕ ЅЕАМІСЕ 
68/и@р ореп | Ғі1%+егеа аһсрс 
631/иар ореп|+114егей ірр 


М№ар опе: 1 ТР аййгеѕ5ѕ (1 Поз ир) ѕсаппеа іп 1081.83 зесопа$ 


Для того чтобы провести тщательный аудит, обязательно включите ОЮР- 
сканирование. Кроме того, существуют дополнительные проверки птар, которые 
могут оказаться полезными, их можно найти на сайте утилиты птар. 


ВНИМАНИЕ 


Если вы отключили брандмауэр своего сервера для проверки птар, обязательно включите его снова. Задействуй- 
те команду ѕуѕќетсії ѕќагї Йгеүуа!1а.ѕегуісе. 


Нужно также реализовать элементы управления для тех служб, которые дол- 
жен предлагать ваш Глпих-сервер. Один из способов сделать это — использовать 
правила брандмауэра. 

Ранние версии Глпах применяют ТСР-оболочки для разрешения или запрета 
доступа к службам Глпих. В них есть файлы /еёс/һоѕ&ѕ.а110ом и /е+с/но$+$ .депу, 
в которых можно конкретно указать, какие службы должны быть доступны, а какие 
заблокированы для определенных внешних системных имен и/или ГР-адресов. 
Начиная с Ееога 28 и ВНЕГ 8, функция ТСР мгаррегѕ была исключена из этих 
дистрибутивов. Однако некоторые функции, такие как ура, по-прежнему под- 
держивают эти файлы конфигурации, только другими способами. 


Работа с брандмауэрами 


Брандмауэр в здании — это огнеупорная стена, которая предотвращает распро- 
странение огня по всему строению. Брандмауэр компьютера блокирует передачу 
вредоносных или нежелательных данных в компьютерную систему или сеть и из 
нее. Например, брандмауэр может блокировать вредоносное сканирование с пор- 
тов сервера Глпих. Он может также изменять сетевые пакеты, проходящие через 
систему, и перенаправлять их различными способами. 

В Ппих служба йфа е5 — это функция брандмауэра на уровне ядра. Чаще всего она 
используется для разрешения или блокирования доступа из внешних систем к служ- 
бам, работающим в локальной системе. Служба ірќаб1еѕ работает, позволяя создавать 
правила, которые могут быть применены к каждому пакету, который пытается войти 
в систему (ТМРОТ), выйти из нее (О0ТРОТ) или пройти через нее (ЕОВМАВО). 

Хотя пропуск или блокирование пакетов, пытающихся войти в систему, — это 
основная функция ірќаб1еѕ, вы также можете создать правила для службы, которые 
позволят осуществлять следующее. 


ө Эффективно блокировать пакеты, выходящие из вашей системы, чтобы процесс 
в ней не достиг удаленного хоста, диапазона адресов или выбранных служб. 
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® Переадресовывать пакеты с одного сетевого интерфейса системы на другой, 
позволяя компьютеру эффективно действовать в качестве маршрутизатора 
между двумя сетями. 


® Переадресовывать порт пакета, предназначенный для переадресации выбранно- 
го порта, на другой порт вашей локальной системы или на удаленную систему, 
чтобы и в других местах запрос из пакета мог быть обработан. 


® Изменить информацию в заголовке пакета, чтобы перенаправить его или каким- 
то образом пометить как нуждающийся в дополнительной обработке. 


® Разрешить нескольким компьютерам в частной сети (например, компьюте- 
рам, телевизорам или другим устройствам в домашней сети) взаимодейство- 
вать с Интернетом по одному общедоступному ІР-адресу (это называется 
ІР-маскарадинг). 


В следующих разделах я опишу многие из этих функций, но в основном сосре- 
доточусь на правилах блокировки или разрешения доступа к службам, работающим 
в вашей системе Глпих. 


Что такое брандмауэр 


Можно представлять брандмауэр как полноценный барьер, но на самом деле 
брандмауэр Глпих — это просто фильтр, который проверяет каждый сетевой пакет 
или запрос приложения, поступающий в компьютерную систему или сеть или вы- 
ходящий из нее. 


ПРИМЕЧАНИЕ 


Что такое сетевой пакет? Сетевой пакет — это передаваемые фрагменты, на которые были разбиты данные. 
Фрагменты, или пакеты, имеют дополнительные данные, добавляемые к ним по мере прохождения вниз по мо- 
дели 051. Это как класть письмо в конверт на каждом этапе, когда оно движется вниз по стеку протоколов. Одна 
из целей присоединения дополнительных данных — обеспечение безопасного прибытия пакета в пункт назначе- 
ния. Дополнительные данные удаляются из пакета, когда он проходит обратно по модели 051 в пункте назначения 
(например, как будто снимают внешний конверт и передают письмо на слой выше). 


Брандмауэры могут быть разделены на категории в зависимости от их функций. 
Все категории играют важную роль в обеспечении безопасности ваших сервера 
и сети. 


® Брандмауэр может быть основан либо на сети, либо на хосте. Сетевой бранд- 
мауэр защищает всю сеть или подсеть. Например, сетевой брандмауэр будет 
использоваться на рабочем месте, где сеть должна быть защищена брандмауэром 
экранирующего маршрутизатора. 
Брандмауэр на основе хоста — это брандмауэр, работающий на отдельном хосте 
или сервере и защищающий его. Скорее всего, на вашем домашнем компьютере 
есть брандмауэр — это и есть брандмауэр на базе хоста. 
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ө Аппаратный или программный брандмауэр. Брандмауэры могут быть распо- 
ложены на сетевых устройствах, например на маршрутизаторах. Их фильтры 
настроены в соответствующем программном обеспечении маршрутизатора. 
В доме интернет-провайдер (15Р) может предоставить маршрутизатор, чтобы 
вы могли получить доступ к Интернету. Маршрутизатор содержит встроенное 
программное обеспечение брандмауэра и считается аппаратным брандмауэром. 


Брандмауэры могут быть расположены в компьютерной системе как прило- 
жение. Оно позволяет установить правила фильтрации входящего трафика. 
Это пример программного брандмауэра. Он называется также брандмауэром 
на основе правил. 


ө Брандмауэр как фильтр сетевого либо прикладного уровня. Брандмауэр, ко- 
торый проверяет отдельные сетевые пакеты, называется пакетным фильтром. 
Брандмауэр сетевого уровня допускает только определенные пакеты в систему 
и из нее. Он работает на нижних уровнях эталонной модели ОЗ]. 


Брандмауэр прикладного уровня фильтрует на более высоких уровнях эталонной 
модели ОЗТ. Он позволяет только определенным приложениям получать доступ 
в систему и из нее. 


Вы можете видеть, что эти категории брандмауэра пересекаются. Лучшая на- 
стройка брандмауэра — это сочетание всех категорий. Как и во многих других методах 
обеспечения безопасности, чем больше у нее слоев, тем труднее проникнуть в систему. 


Добавление брандмауэров 


В системе Тіпих брандмауэр представляет собой сетевой брандмауэр на уровне 
хоста, управляемый утилитой 1раб1ез и связанными с ней компонентами уровня 
ядра. С помощью службы ір+аб1еѕ вы можете создать ряд правил для каждого се- 
тевого пакета, проходящего через сервер Глпих. И можете точно настроить правила, 
чтобы разрешить сетевой трафик из одного места, но не из другого. Эти правила, 
по сути, формируют список контроля доступа к сети для сервера Глпих. 

Еедога, КНЕТ. и другие дистрибутивы Гіпих добавили службу 1геша11а, чтобы 
обеспечить более динамичный способ управления правилами брандмауэра, чем 
было прежде. В последних версиях систем КНЕТ. и Еейога брандмауэр ірёаб1еѕ был 
заменен на пеаБ1е$. Окно конфигурации брандмауэра (команда Ғігема11-соп+ів) 
позволяет очень просто открыть на нем порты и выполнить маскировку (маршру- 
тизацию частных адресов в общедоступную сеть) или переадресацию портов. Служ- 
ба +1гема114 может реагировать на изменения условий, что статическая служба 
1реаб1е$ сама по себе сделать не может. Разрешая доступ к службе, #1гема11а может 
также загружать модули, необходимые для разрешения доступа к службе. 


СОВЕТ 


Утилита {реа ез управляет брандмауэром Ипих, называемым пе Кег. Таким образом, вы часто будете видеть 
брандмауэр пеї1їег/ірќаБіеѕ. Синтаксис {риа ез по-прежнему поддерживается, но в последних версиях ВНЕ. 
и Ғейога пКаЫе$ фактически предоставляет базу для ірќаБІеѕ. 
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Служба Ягемайа 


Служба +1гема11а уже может быть установлена в вашей системе Глпих. Чтобы про- 
верить это, введите следующее: 


# ѕуѕетс+1 ѕ+аїиѕ Ғігема11а 

• Ғігема11а.5ѕегуісе — Ғігема11а — дупам1с Ғігема11 даетоп 
Іоайеа: 1Іоааеа (/иѕг/11ір/ѕуѕ+ета/ѕуѕ&ет/ Ғігема11а.ѕегуісе; епа> 
Асііме: асііме (гиппіпе) ѕіпсе ба 2019-10-19 11:43:13 Ерт; 5м> 


росѕ: мап: Ғігема114(1) 
Маіп РТО: 776 (Ғігема11а) 
Таѕкѕ: 2 (111%: 2294) 
Метогу: 39.67 
Сбгоир: /ѕуѕёет. ѕ51ісе/Ғігема11а. ѕегуісе 


Г 776 /иѕп/Ьіп/руєһопз /изг/$61п/+1гема114 --поҒогКк --> 
Если это не так, вы можете установить службу Ғігема114а и связанный с ней 
графический интерфейс пользователя, а затем запустить ее следующим образом: 


# уит 11$%а11 Ғігема114 Ғігема11-соп+Ғі 
# Ѕуѕ+етсё1 зФагф Ғігема114.ѕегуісе 
# Ѕуѕ+етсё1 епаБ1е +1гема114. зегу1се 


Для управления службой +1гема114 запустите окно Ргема! Сопйдигавоп (Настрой- 
ка межсетевого экрана). Для этого введите следующую команду: 
# Ғігема11-сопҒір & 


На рис. 25.1 показан пример окна Ргема! Сопёдигайоп (Настройка межсетевого 
экрана). 


Ейе Оріопѕ Мем Неір 


у Асіме Віпіпдѕ СопйдигаНот: Випите ~ 


Соппесіопѕ 
Мед соппесцоп 1 (ег 


2опеѕ Ѕегуісеѕ |р5е!5 


Сева 2опе: Редога\Мой$ 
Имеасез 


Сһапде Хопе 


А ПгеммаЦ 9 гопе дейпез {ће 1еме! о! (гиѕ! ог пеймюгК соппесііопѕ, іпќегѓасеѕ апі зоигсе а44гезе$ Боџпа {0 {Пе гопе. Тће опе сотЬ тез 
зегисез, рогі, ргоќосо!5, паздуега итд, рог/раскеќ гогииаг пд, істр #1егѕ апа псп пдез. Тће гопе сап Бе Боџпа {о іпќегѓасеѕ апа ѕошгсе 
аддгеѕѕеѕ. 


Ѕошгсеѕ 
Уо 4 бегуісеѕ Рогі Ргоќосоіѕ Ѕоџгсе Ром Маѕдиегадітд Ром Ғогмагїіпд № 
бт2 | — 
гор Неге уоџ сап дейпе мфћісћ ѕегуісеѕ аге {гизке іп {Пе гопе. Тиле егисез аге ассеѕѕїЫе (гот а ћоѕіѕ апі 
4 А | пеѓмуогкѕ {Па! сап геасһ {Һе тасһіпе гот соппесііопѕ, іпќегѓасеѕ апі зоигсез Боџпа 10 (ћіѕ 2опе, 
ежегпа 
Редогабегуег | Ѕегуісе 
Редога\/о {са Чоп зтапдә-діепі 
роте ] атапіз-к5-@іепё 
іпіегпаі атар 
РУК ще 
тиед эрсурзд 
мо ашій 
фасла 
_| Басца-сііепі 
Бар 
— Бйсом 
Бисот-гре 


Соппесііоп (о Яге\ма И еѕѓаЫіѕһеа. 
ОегзиК 2опе: Редога\УогкхаНоп 109 Оепіед: ой’ Рапіс Моде: 95аед Ашќотайс Не{регз: зузбет (ой) Іоскбомт: 96аЫед 


Рис. 25.1. Окно Егема! Сопйдигавоп (Настройка межсетевого экрана) 
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С помощью +1гема11а вы можете выбрать одну из нескольких зон брандмауэ- 
ра в зависимости от того, какие службы хотите использовать совместно и какой 
уровень защиты получить для системы. Выбранный в этом примере набор правил 
Ее4дога \/огк$айоп по умолчанию подходит для рабочей станции Гіпих, работа- 
ющей в домашней сети. Он содержит: 


® клиент ОНСРу6 — включает автоматическое назначение адресов в сетях ГРуб; 


® групповой 035 (шОМ$) — разрешает интерфейсы системы доменных имен на 
небольших сетевых интерфейсах, не требуя регулярного ОМ№5-сервера; 


® клиент и межсетевую печать (ІРР) — разрешает общий доступ к принтерам 
в локальной системе и сети; 


® клиент ЅатђБа — разрешает общий доступ к файлам с системами \тао\$ 
и другими в локальной сети; 


® службу $$Н — разрешает другим пользователям попытаться войти в вашу 
систему из сети; 


® интерфейс СосКри — разрешает доступ к веб-администрированию с помощью 
Соскри из сети. Интерфейс установлен по умолчанию в дистрибутиве КНЕТ. 8, 
но не установлен по умолчанию на рабочей станции ЕеДога 30. Таким образом, 
Соскри не появится в окне Егема! Сопйдиганоп (Настройка межсетевого экрана) 
до тех пор, пока вы не установите пакет соскрії. 


Если вы подключаете компьютер к сетям с разным уровнем доверия (например, 
к беспроводной сети в аэропорту), можете настроить правила брандмауэра, вы- 
брав другую зону. Например, чтобы перейти в общедоступную зону из окна Вгема! 
Сопёідигайоп (Настройка межсетевого экрана), выполните следующие действия. 


1. В столбце Асіме Втатаз выберите активное соединение (в данном примере мігей 
соппес+іоп 1). 


2. Выберите новую зону (например, риб11с). 
3. Нажмите кнопку Сһапде 7опе. 


Зона риб11с, по-прежнему разрешающая ГРуб-соединения, удаленный вход 
в систему (55Н) и службу т0№5, не позволяет получить доступ к более уязвимым 
службам печати, обмена файлами УЛ тао\уз (ЗатБа) и Соскри. 

Помимо смены зон, можно открыть некоторые порты брандмауэра, чтобы разре- 
шить доступ к выбранным службам. В окне Ргема! Сопйдиганоп (Настройка межсетево- 
го экрана) с зоной рабочей станции Еедога, установленной в качестве текущей зоны, 
просто щелкните на каждой службе, которую хотите открыть. Порт, разрешающий 
доступ ко всем службам, открывается немедленно (при выборе конфигурации среды 
выполнения) или открывается постоянно (при выборе постоянной конфигурации). 

Одной из приятных особенностей окна Еігема!! Сопідигайоп (Настройка межсете- 
вого экрана) является то, что, когда вы разрешаете доступ к службе, можно сделать 
больше, чем просто открыть порт. Например, включение службы ЕТР вызывает за- 
грузку модулей отслеживания соединений, которые позволяют при необходимости 
получать доступ к нестандартным портам через брандмауэр. 
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Изменение правил брандмауэра из веб-интерфейса Соскріё 


Соскрк предлагает еще один интуитивно понятный способ работы с брандмауэром 
системы. Чтобы просмотреть и изменить брандмауэр с помощью СосКріё, выпол- 
ните следующие действия. 


1. Откройте браузер для работы с интерфейсом СосКкри (ћ&рѕ://уоићоѕ:9090) и вой- 
дите в систему с привилегией суперпользователя. 


2. Выберите пункт Међћмогкіпо (Сеть) » Ргема! (Межсетевой экран), как показано на 
рис. 25.2. 


\МОВК$УТАТОМ ЕБПТОМ 


Месси > Риемай 


Агема! © 


АсПуе 20пеѕ 


Е гаогезоһоы 


105 


ОнСРуб Сћепе еда ога0оп 


Миса ОМ№Ѕ (том) фед Мочеланов 


Могигойк Рин Сбепе (ІРР) 5 Гедога Могао 


Мегмон Ргігіпр Ѕеғле (РР) $ Редога Монино 


Ѕатћа Сет. Гедога Мода 


5$Н Гедога Модханой 


Рис. 25.2. Настройка брандмауэра 


3. Выберите пункт Ада Ѕегуісеѕ (Добавить службы). Появится соответствующее 
диалоговое окно. 


4. Установите флажок рядом со службой, которую хотите включить в текущей 
зоне, и нажмите кнопку Ада Ѕегуісеѕ (Добавить службы). 


Доступ к выбранному порту задан. То есть если у вас есть служба, работающая 
на этом порте, доступ тому, кто ее запрашивает (например, доступ к вашему веб- 
серверу на портах 80 и 443), будет разрешен. 

Как упоминалось ранее, в основе служб СосКкрі и Ғігема11а лежит служба 
1рфаб1е$. Если у вас есть система Глпах без служб Соскрії или +1гема11а (или 
с отключенной службой #1гема11а), вы все равно можете использовать службу 
1реаб1ез. В следующих разделах описывается, как установить правила брандмауэра 
1реаб1е$ вручную и применять службу 1реаб1е$ напрямую, без службы +1гема11а. 
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Служба 1р{аЫез 


Прежде чем начать изменять правила брандмауэра с помощью утилиты ірќађ1еѕ, 
необходимо понять основы пеё#і1+ег/ірађ1еѕ, которые включают в себя: 


таблицы; 
цепочки; 
политики; 


правила. 


Понимание основ поможет правильно настроить брандмауэр сервера Глпих 


и управлять им. 


Таблицы пе ег /ірќаЫеѕ. Брандмауэр ірёаб1еѕ способен на большее, чем 


просто фильтрация на низовом уровне — уровне пакетов. Он определяет, какой 
тип функции брандмауэра применяется. В утилите 1р+аб1е$ есть четыре таблицы 
и дополнительная таблица ЗЕГлпих. Рассмотрим их функции. 


Ғі1+ег. Таблица #і1+ег фильтрует пакеты брандмауэра. В ней решения по 
управлению доступом принимаются для пакетов, перемещающихся по системе 
Тапих, из нее и через нее. 


па*. Задействуется для преобразования сетевых адресов (МАТ). Правила таблицы 
МАТ позволяют перенаправлять пакет туда, куда нужно. 


папе1е. Как вы могли бы заподозрить, пакеты искажаются (модифицируются) 
в соответствии с правилами таблицы искажений. Использование таблицы 
папв1е напрямую не особо распространено, обычно с ее помощью изменяют 
способ управления пакетом. 


гам. Таблица гам применяется для освобождения определенных сетевых паке- 
тов от так называемого отслеживания соединений. Эта функция важна, когда 
вы используете преобразование сетевых адресов и виртуализацию на своем 
сервере Глпих. 


ѕесигі+у. Эта таблица доступна только в дистрибутивах Глпих с функцией 
ЗЕГапих (см. главу 24 «Повышенная безопасность с технологией $Е11іпих»). 
Хотя таблица безопасности обычно не используется напрямую, она позволяет 
ЗЕГлпих разрешать или блокировать пакет на основе политик ЗЕТлпих, добавляя 
еще один уровень фильтрации к стандартным правилам фильтрации пакетов. 


Из перечисленных таблиц три сосредоточены на преобразовании сетевых 


адресов (пеб\уотК айЯгеѕѕ ігапѕ[абіоп). Таким образом, +114ег является основной 
таблицей, о которой идет речь в главе о базовой фильтрации пакетов брандмауэра. 


Цепочки службы пеёіќег/ірќаЫеѕ. Брандмауэр пеёғі1+ег/ірёаЬ1еѕ классифи- 


цирует сетевые пакеты по категориям, называемым цепочками. Существует пять 
цепочек (категорий), к которым может быть отнесен сетевой пакет: 


ІМРОТ — сетевые пакеты, поступающие на сервер Глпих; 


РОВМАВО — поступающие на сервер Глпих сетевые пакеты, которые должны быть 
перенаправлены через другой сетевой интерфейс на сервере; 
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© ООТРИТ — сетевые пакеты, поступающие из сервера пих; 


© РВЕВОИТТМ — используется преобразование сетевых адресов МАТ для изменения 
сетевых пакетов, когда они поступают на сервер пих; 


® РОЅТКОШТІМС — применяется преобразование сетевых адресов МАТ для изменения 
сетевых пакетов до того, как они выйдут из сервера Глпих. 


Таблица пе{+11%ег/1реаБ1е$, с которой вы решите работать, определяет, какие 
цепочки доступны для отнесения сетевых пакетов к определенной категории. 
В табл. 25.1 показано, какие цепочки доступны для каждой из таблиц. 


Таблица 25.1. Цепочки, доступные для таблиц пеЁћіќег/ірёаЫеѕ 


Таблица Доступные цепочки 

В бег МРОТ, ЕОК\АКО, ООТРОТ 

па РКЕКОСЧОТІМС, ООТРОТ, РОЅТКООТІМС 

тапеје МРОТ, ЕОКҰАКР, РКЕКООТІМС, ООТРОТ, РОЅТКООТІМС 
гау РКЕКОЧТІМС, ООТРОТ 

ѕесигібу МРОТ, ЕОКМАКР, ООТРОТ 


После того как сетевой пакет отнесен к определенной цепочке, служба ірёаБ1еѕ 
может определить, какие политики или правила применяются конкретно к нему. 
Правила, политики и цели службы пе ЯКег/1рёаЫез. Для каждого сетевого 
пакета можно установить правило, определяющее, что с ним делать. Сетевые па- 
кеты могут быть идентифицированы брандмауэром пе{+11+ег/1реа61ез многими 
способами. Вот несколько: 
ІР-адрес источника; 
ІР-адрес назначения; 
сетевой протокол; 
входящий порт; 


исходящий порт; 


состояние сети. 


Если для конкретного пакета не существует правила, то используется общая 
политика. Каждая категория пакетов или цепочка имеет политику по умолчанию. 
Если сетевой пакет соответствует определенному правилу или политике по умол- 
чанию, то над ним выполняется действие. Оно зависит от того, какая цель службы 
ір+аб1еѕ задана. Вот несколько действий (целей), которые можно предпринять: 


© АССЕРТ — сетевой пакет принимается на сервер; 


© КЕЈЕСТ — сетевой пакет отбрасывается и не допускается на сервер. Отправляется 
сообщение об отказе; 


© ОКОР — сетевой пакет отбрасывается и не допускается на сервер. Сообщение об 
отказе не отправляется. 
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Действие ВЕЗЕСТ передает сообщение об отказе, в то время как ОВОР этого не де- 
лает. Вы можете использовать действие ВЕЗЕСТ для внутренних сотрудников, ко- 
торым следует сообщить, что их исходящий сетевой трафик отклоняется и почему. 
Применяйте действие ОВОР для входящего трафика, чтобы он весь блокировался 
без уведомления об этом. 


СОВЕТ 


Есть несколько дополнительных, более сложных целей для службы ірїабіеѕ, таких как ОЏЕЏЕ. Вы можете узнать 
больше об этих действиях на справочной странице ірќабіеѕ. 


Утилита ірёаь1еѕ реализует программный брандмауэр, используя таблицу 
Ғі1сег с помощью политик и правил. Теперь, когда у вас есть общее представление 
о реализации программного брандмауэра, можете начать углубляться в конкретные 
команды для реализации брандмауэра с помощью утилиты ір+аБ1е. 


Использование службы ірїаЫіеѕ 


На Піпих-сервере брандмауэр должен быть установлен по умолчанию. Тем не менее 
необходимо посмотреть и убедиться, что он действительно включен. 


® Брандмауэр пеСбіќег/ірќаЫеѕ в системах ЕНЕ. 7, КНЕ. 8 и последние версии 
Еедога. Служба интерфейса брандмауэра, работающая в этих дистрибутивах, 
называется Ғігема11а. Служба 1реаб1е$ по умолчанию не запускается непо- 
средственно в этих системах. Чтобы узнать, работает ли эта служба брандмауэра, 
введите зузетсЕ1 ѕ+аёиѕ Ғігема114. ѕегуісе в командной строке: 


= чтобы включить брандмауэр, введите ѕуѕёетс+1 ѕ№агї +1гема114. 5егм1се 
и ѕуѕёетс+1 епаб1е Ғігена114.ѕегуісе в командной строке; 


" чтобы отключить брандмауэр, введите ѕуѕёетс+1 ор Ғігема114. 5егу1 се 
в командной строке. 


® Брандмауэр ОЬипќи пе ќег/ірќаЫеѕ. Служба интерфейса брандмауэра, ра- 
ботающая в этом дистрибутиве, называется ии. Чтобы проверить, работает ли 
она, введите зидо им ѕаїиѕ в командной строке. Служба им — это интерфейс 
к утилите ірёаб1еѕ, которая не работает как служба в ОБипёи. Вы можете ис- 
пользовать команды ии для управления правилами брандмауэра. Однако все 
команды утилиты ірёаб1еѕ по-прежнему действительны для ОБипёи: 


= чтобы включить брандмауэр, введите зидо ии епаб1е в командной строке; 

= чтобы отключить брандмауэр, введите зидо им 91 заб1е в командной строке. 

После того как вы проверили состояние и включили или отключили брандмауэр 
пе+11+ег/1рфаб1е$, различий между дистрибутивами не остается. 


Чтобы узнать, какие политики и правила существуют в настоящее время для 
таблицы +114ег (по умолчанию), введите 1реаб1ез-мпЕ в командной строке: 


# 1рфаб1ез$ -упЕ 
Сһаіп ІМРОТ (ро11су АССЕРТ Ө расКе\ф$, Ө Бу{ез)... 
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Обратите внимание на то, что в системах с включенной службой Ғігема114 
существует гораздо больше цепочек ірќађ1еѕ и правил, перечисленных по умол- 
чанию, чем вы могли бы использовать в системе, задействующей службу ір+ађ1еѕ 
напрямую. Это делается для того, чтобы обеспечить большую гибкость при по- 
строении брандмауэров, позволяя разделить ваши правила на зоны различных 
уровней безопасности. 

В предыдущем примере показана только первая строка вывода 1рфаб1ез. Она по- 
казывает, что политика по умолчанию цепочки ІМРОТ применяется ко всем сете- 
вым пакетам, которые не соответствуют другому правилу. В настоящее время все 
политики ІМРОТ, ЕОВМАВО и ОЧТРОТ по умолчанию настроены на действие АССЕРТ. 
Все сетевые пакеты могут входить, проходить и выходить. Брандмауэр в этом со- 
стоянии, по существу, отключен до тех пор, пока не будут добавлены определенные 
правила КЕЗЕСТ или ОВОР. 


СОВЕТ 


Если ваш Ипих-сервер имеет дело с сетевыми пакетами 1Рүб, можете использовать утилиту ірбќаБІеѕ для управ- 
ления брандмауэром для 1Рүуб-адресов. Утилита ірбќаБІеѕ почти идентична утилите ірќаБІеѕ. Для получения до- 
полнительной информации введите тап ірбќаБІеѕ в командной строке. 


Изменение политик и правил службы ірќађеѕ. Прежде чем начать изменять 
брандмауэр пеЄ+і1+ег/ірёаЬ1еѕ непосредственно с помощью команды ір+аб1еѕ, 
вам следует зайти в систему, которая применяется для тестирования, и отключить 
службу Ғігема11а. 

Чтобы начать работу, необходимо изучить несколько параметров команд. 

Параметры изменения брандмауэра: 


Ф -Е таблица. Команда ірёар1еѕ, перечисленная вместе с этим параметром, при- 
меняется к таблице. По умолчанию используется таблица #11+ег, например: 
# ірёаб1еѕ -& +114ег -Р ОУТРОТ ОКОР 

Ф -Р цепочка действие. Задает общую политику для конкретной цепочки. Правила 


в цепочке проверяются на совпадения. Если совпадений нет, выполняется ука- 
занное действие, например: 


# ірёаб1еѕ -Р ТМРИТ АССЕРТ 


Ф -д цепочка. Устанавливает правило, называемое добавленным, которое является 
исключением из общей политики для назначенного параметра цепочка, например: 
# ірёаб1еѕ -А ООТРИТ -а 10.140.67.25 -ј ВЕЗЕСТ 

Ф -І правило# цепочка. Вставляет добавленное правило правило# в определенное 
место в списке добавленных правил, назначенных параметру цепочка, например: 
# ірёаб1еѕ -І 5 ІМРОТ -5 10.140.67.23 -ј ОКОР 

© -р цепочка правило#. Удаляет конкретное правило правило# из назначенных 
параметру сһаіп, например: 


# ірёаб1еѕ -0 ТМРОТ 5 
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® -/ действие. Выполняет действие, если правило подошло, например: 
# іріаб1еѕ -А ТМРИТ -5 10.140.67.25 -ј ОКОР 
® -а ІР-адрес. Назначает указанное правило для применения к назначенному 
ІР-адресу, например: 
# іріаб1еѕ -А ОЧТРОТ -а 10.140.67.25 -ј ВЕЗЕСТ 
® -5 ІР-адрес. Назначает указанное правило для применения к назначенному 
ІР-адресу, например: 
# ірёаб1еѕ -А ТМРИТ -5 10.140.67.24 -ј АССЕРТ 
® -р протокол. Назначает указанное правило для применения к указанному про- 
токолу. Например, здесь отбрасываются входящие запросы р1пв (істр): 
# 1рфаб1ез -А ІМРОТ -р 1стр -ј ОВОР 
© --арогЕ порт#. Назначает указанное правило для применения к определенным 
пакетам протокола, поступающим в назначенный параметр порт, например: 
# ірёаб1еѕ -А ІМРОТ -р ср --арогЕ 22 -ј РКОР 
® --5рогЕ порт. Назначает указанное правило для применения к определенным 
пакетам протокола, выходящим из назначенного параметра порт#, например: 
# ірёаб1еѕ -А ООТРИТ -р %ср --ѕрогі 22 -ј АССЕРТ 
Ф -птате -$Тафе состояние соединения. Назначает указанное правило для при- 
менения к назначенному состоянию (состояниям) соединения, например: 
# ірёаб1еѕ -А ІМРОТ -т з%афе --фа%е КЕГАТЕР, ЕЅТАВІІЅНЕР -ј АССЕРТ 
Чтобы увидеть, как работают параметры ірќаБ1еѕ, рассмотрим следующий при- 
мер. У вас есть сервер Шіпих (Но$-А) по ІР-адресу 10.140.67.23. В вашей сети имеется 
еще два сервера Глпих. Один из них — Но$-В по ТР-адресу 10.140.67.22, а другой — 
Ноз(-С по ТР-адресу 10.140.67.25. Вам необходимо выполнить следующее: 
® разрешить полный доступ с сервера Но$-С к серверу Но$-А; 
® блокировать удаленные подключения входа с помощью службы $51 от Ноѕі-В 
к Но$-А. 


Настройка политики ОКОР. В следующем коде показаны политики брандмауэ- 
ра сервера Ноз(-А по умолчанию. Здесь брандмауэр открыт полностью, без каких- 
либо ограничений. Никаких правил не установлено, и все политики настроены на 
режим АССЕРТ: 


# 1рфаб1ез$ -упЕ 


Сһаіп ТМРИОТ (ро11су АССЕРТ) 
агре? ргоё оре ѕоигсе деѕёіпа+іоп 


Сһаіп РОВМАВО (ро11су АССЕРТ) 
агре? ргоё оре ѕоигсе деѕёіпа+іоп 


Сһаіп ОЦТРИТ (ро1їсу АССЕРТ) 
агре? ргоё оре ѕоигсе деѕёіпа+іоп 
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Во-первых, что произойдет, если политика ІМРОТ будет изменена с АССЕРТ на 
ОВОР? Достигнет ли она цели? Посмотрите, что будет, если попытаться это сде- 
лать. Помните, что если для входящего пакета не указано никаких правил, то со- 
блюдается политика сһаіп'ѕ ро1ісу. Это изменение внесено в брандмауэр Ноѕі-А 
в следующем примере: 


# 1рфаб1ез -Р ІМРОТ ОВОР 
# 1рфаб1ез$ -упЕ 


Сһаіп ІМРОТ (ро11су ОКОР) 
+агре+ ргоё оре зоигсе аеѕёіпа+іоп 


Сһаіп РОКМАВО (ро11су АССЕРТ) 
+агреї ргоё оре ѕоигсе деѕёіпа+іоп 


Сһаіп ОЦТРИТ (ро1ісу АССЕРТ) 
+агре ргоё оре ѕоигсе деѕёіпа+іоп 


СОВЕТ 


Для политик нельзя установить цель ВЕЛЕСТ. При такой попытке выдается сообщение ірќаБІеѕ: Ваа роїісу пате. 
Вместо этого используйте в качестве политики ОВОР. 


Ноѕі-В пытается пропинговать Но$-А, а затем установить ѕ5һ-соединение, 
как показано в следующем примере. Здесь обе попытки провалились. Поскольку 
команда ріпа заблокирована, это не соответствует цели блокировать только уда- 
ленные подключения входа с помощью ѕѕћ от Ноѕі-В: 


$ ріпе -с 2 10.140.67.23 
РІМС 10.140.67.23 (10.140.67.23) 56(84) Буфез о# дажа. 


--- 10.140.67.23 р1пё $%а{1$41с$ --- 
2 раскеїѕ Егапѕтії+еа, 0 гесе1\уеа, 100% раскеї 1055, {1те 1007т5 
$ 55һ гоо+@10.140.67.23 


55һ: соппесе фо һоѕ& 10.140.67.23 рогі 22: Соппес+іоп +ітеа ои 


Попытки сервера Ноѕі-С пинговать Но${-А и установить ѕ5һ-соединение терпят 
неудачу. Таким образом подтверждается, что настройка брандмауэра, где политика 
ТМРОТ равна ОКОР, не поможет в достижении цели: 


$ ріпе -с 2 10.140.67.23 
РІМС 10.140.67.23 (10.140.67.23) 56(84) Буфез о+ дажа. 


--- 10.140.67.23 р1пё $фа{1${1с$ --- 
2 раскеїѕ +гапзм1+еа, Ө гесеімеа, 100% раскеї 1055, +іте 1008т$ 
$ 5ѕ5һ гоо{@10.140.67.23 


55һ: соппесі фо һоѕ& 10.140.67.23 роге 22: Соппес+іоп +ітеа ои 


Блокировка источника ІР-адресов. А что, если вместо этого будет заблокирован 
только ІР-адрес сервера Ноз(-В? Это позволило бы Ноѕі-С достичь сервера НоѕЁ-А. 
Поможет ли эта настройка добиться желаемого? 
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В следующем примере политика ОКОР должна быть сначала изменена на А0 
в іріаЬ1еѕ Но$(-А. После этого необходимо добавить специальное правило для 
блокировки сетевых пакетов только с ІР-адреса Но$-В 10.140.67.22: 


# 1рфаб1ез -Р ІМРОТ АССЕРТ 

# 1рфаб1ез -А ІМРОТ -5 10.140.67.22 -ј ОВОР 

# ірёар1еѕ -упЕ 

Сһаіп ІМРОТ (ро11су АССЕРТ) 

агре? ргоЕ оре ѕоигсе деѕёіпа+іоп 
ОКОР а11 -- 10.140.67.22 апумһеге 


Сһаіп РОВМАВО (ро11су АССЕРТ) 
Тагре ргоё оре ѕоигсе деѕёіпа+іоп 


Сһаіп ОЦТРИТ (ро14су АССЕРТ) 
агре? ргоё оре ѕоигсе деѕёіпа+іоп 


Теперь сервер Ноѕї-С может успешно использовать р1п8 и $$ на сервере 
Ноѕе-А, реализуя одну из поставленных целей: 


$ ріпе -с 2 10.140.67.23 

РТМ б 10.140.67.23 (10.140.67.23) 56(84) Буіеѕ о дака. 

64 Буфез Ғгот 10.140.67.23: істр гед=1 +61=64 +іте=11.7 тѕ 
64 Буфез Ғгот 10.140.67.23: істр гед=2 +61=64 {1те=0.000 тѕ 


--- 10.140.67.23 ріпв ѕ+аїіѕ+ісѕ --- 

2 раскеф$ Ёгапѕтії+еа, 2 гесеімеа, 0% раске+ 1055, +іте 1008т5 
гЁ тіп/амур/тах/таеу = 0.000/5.824/11.648/5.824 тѕ 

$ 55һ гоо+@10.140.67.23 

гоо+@10.140.67.23'5 раѕѕмога: 


Однако Ноѕі-В не может использовать ріпе и ѕ55ћ на сервере Но$-А. Таким об- 
разом, применяемое правило не помогает в достижении общей цели: 


$ ріпе -с 2 10.140.67.23 
РТ№  10.140.67.23 (10.140.67.23) 56(84) Бу+еѕ о+ дажа. 


--- 10.140.67.23 ріпв ѕ+аїіѕ+ісѕ --- 
2 раскеёѕ Ёгапѕтії+еа, 9 гесеімеа, 100% раске+ 1055, {1те 1007т5 


$ 55һ гоо+@10.140.67.23 


55: соппесе Фо һоѕі 10.140.67.23 рогі 22: Соппесііоп +ітеа ои 


Блокировка протокола и порта. А если вместо полной блокировки ТР-адреса 
сервера Ноз(-В заблокировать только соединения с $$Н-портом (порт 22) с ТР-адреса 
Ноз-В? Даст ли серверу Но$-С полный доступ к серверу Ноз(-А то, что заблоки- 
рованы только ѕѕһ-соединения от сервера НоѕС-В? 

В следующем примере правила ірёаь1еѕ для сервера Ноѕі-А модифицируются, 
чтобы попытаться заблокировать ІР-адрес Ноѕ-В из порта 22. Обратите внимание 
на то, что параметр - -йрогі должен сопровождать определенный протокол, напри- 
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мер -р ср. Перед добавлением нового правила следует удалить правило из преды- 
дущего примера с помощью параметра -0. В противном случае оно будет исполь- 
зоваться брандмауэром пет+11+ег/1реаб1ез для пакетов от 10.140.67.22 (Ноѕ-В): 


# 1рфаб1ез -0 ТМРОТ 1 
# ірёаб1еѕ -А ТМРОТ -5 10.140.67.22 -р ср --арог+ 22 -ј ОКОР 
# ірёаБ1еѕ -мпі. 


Сһаіп ІМРОТ (ро11су АССЕРТ) 
Тагре ргоё оре зоигсе аеѕёіпабіоп 
ОКОР ср -- 10.140.67.22 апумһеге ср арі: ѕ55һ 


Сһаіп РОКМАВО (ро11су АССЕРТ) 
+агре ргоё оре ѕоигсе аеѕёіпабіоп 


Сһаіп ОЦТРИТ (ро11су АССЕРТ) 
+агреї ргоё оре зоигсе аеѕёіпабіоп 


Во-первых, новое правило ір+аБ1еѕ тестируется с сервера Ноѕі-С, чтобы га- 
рантировать, что и попытки команды ріпе, и ѕѕһ-соединения не затрагиваются. 
Как видно в примере, это сработало: 
$ ріпе -с 2 10.140.67.23 
РІМС 10.140.67.23 (10.140.67.23) 56(84) Бу+еѕ о+ дажа. 


64 бу+еѕ Ғгот 10.140.67.23: істр гед=1 61=64 +іте=1.04 тѕ 
64 Буфез Ғгот 10.140.67.23: істр гед=2 +61=64 біте=0.740 тѕ 


--- 10.140.67.23 ріпв ѕбаїіѕ+ісѕ --- 
2 раскеїѕ Егапѕтії+еа, 2 гесеімеа, 0% раскеї 1055, +іте 1000т$ 
гЁ міп/амр/тах/таеу = 90.740/0.892/1.045/0.155 тѕ 


$ 55һ гоо+@10.140.67.23 
гоо+@10.140.67.23'5 раѕѕмога: 


Затем новое правило ір+аБ1еѕ тестируется с сервера Но$-В, чтобы убедиться, 
что ріпе работает и ѕѕћ-соединения заблокированы. Как видно в примере, это тоже 
сработало: 


$ ріпе -с 2 10.140.67.23 

РТМ б 10.140.67.23 (10.140.67.23) 56(84) Буфез оф а+а. 

64 Буфез Ғгот 10.140.67.23: істр гед=1 61=64 біте=1.10 тѕ 
64 Буфез Ғгот 10.140.67.23: 1стр_гед=2 +61=64 біте=0.781 тѕ 
--- 10.140.67.23 ріпв ѕбаїіѕ+ісѕ --- 


2 раскеїѕ Егапѕтії+еа, 2 гесеімеа, 0% раскеї 1055, біте 1001т$ 
ГЕЕ міп/аур/тах/таеу = 0.781/0.942/1.104/0.164 тѕ 


$ 55һ гоо+@10.140.67.23 


55һ: соппесе Фо һоѕї 10.140.67.23 рогі 22: Соппесёіоп +1тед ои+ 
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Матрица контроля доступа вашей организации (см. главу 22 «Базовые ме- 
тоды обеспечения безопасности») поможет создать необходимые правила для 
брандмауэра пе{+114ег/1рфаб1е$ на сервере Глпих. Затем нужно протестировать 
в тестовой или виртуальной среде каждую модификацию перед внедрением ее 
в брандмауэр рабочих систем Глпих. 

Сохранение настроек службы ірќаЫеѕ. Поскольку Ғігема114 — это рекоменду- 
емая служба для создания брандмауэров в ВНЕГ, Еедога и других системах Гіпих, 
ручная установка постоянных правил брандмауэра не очень популярна. Однако 
при желании вы можете вручную сохранять и восстанавливать правила бранд- 
мауэра, созданные непосредственно с помощью службы ір+аб1еѕ. 

В следующем примере внесенные ранее изменения зафиксированы в бранд- 
мауэре. Текущий набор правил фильтра брандмауэра можно сохранить с помощью 
команды ір&аБ1еѕ-ѕауе: 


# ірёар1еѕ -упЕ 
Сһаіп ІМРОТ (ро11су АССЕРТ 8 раскеф$, 560 Бу*ез) 
ркёѕ Буфе$ фагвее ргої орї іп ои зоигсе ӣеѕћіпаёіоп 


2] Ө ОКОР ср -- * * 10.140.67.22 0.0.0.0/0 їср ар*:22 
[2] Ө ОКОР ср -- * * 0.0.0.0/0 0.0.0.0/0 ср ар*:33 
ө Ө ркор істр -- * * 0.0.0.0/0 0.ө.ө.ө/ө 


# ірёар1еѕ-ѕаме > /&тр/туір+ађЬ1еѕ 


Чтобы восстановить эти правила позже, сначала сбросьте текущие правила 
(ірар1еѕ-Е), а затем восстановите их (ірёаб1еѕ-геѕ+оге): 


# ірёар1еѕ -Е 
# 1рфаб1ез$ -упЕ 
Сһаіп ТМРИОТ (ро11су АССЕРТ 8 раскеф$, 560 бу+еѕ) 


ркёѕ Буфе$ фагвее ргої орї іп оц зоигсе деѕёіпа+іоп 
ө Ө ОКОР ср -- * * 0.0.0.0/0 0.0.0.0/0 {ср ар*:33 
[2] Ө ОКОР істр -- * * 0.0.0.0/0 0.0.0.0/0 


Сброс правил не влияет на файл конфигурации ірёаб1еѕ. Чтобы восстановить 
исходное состояние брандмауэра, используйте команду ірёађБ1еѕ-геѕёоге. В следу- 
ющем примере файл конфигурации ірёаб1еѕ перенаправляется в команду ге оге 
и восстанавливается исходное правило ОВОР для 10.140.67.2: 


# 1рфаб1ез-гезфоге < /+тр/туір+аБ1еѕ 
# 1рфаб1ез$ -упЕ 
СНа1п ІМРОТ (ро11су АССЕРТ 16 раскеф$, 1120 Бу*е$) 


ркёѕ Буфе$ +агре ргої орї іп оц зоигсе деѕёіпа+іоп 
[2] Ө ОКОР фср -- * * 10.140.67.22 0.0.0.0/0 ср ар*:22 
ө Ө ОКОР ср -- * 5 0.0.ө.ө/ө 0.0.0.0/0 {ср ар*:33 


е Ө ркор істр -- * * 0.0.0.0/0 0.ө.ө.ө/ө 
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ПРИМЕЧАНИЕ 


В системе Џбипќи сохранение и восстановление изменений службы пе{Нег/Лраез похоже на то, как это проис- 
ходит в Еедога. Можно использовать команду ірїаБІеѕ-ѕаче, чтобы создать файл конфигурации ірїабіеѕ из теку- 
щей настройки ірќаБІеѕ, а команду ра е5-гезкоге — чтобы его восстановить. Существует несколько вариантов 
загрузки файла конфигурации при загрузке системы. (См. сайт сообщества Џбипїџ по адресу һеІр.ирипќи.сот/ 
соттипйу/ реа езНомЛо, чтобы изучить различные варианты.) 


Вы также можете сохранить правила брандмауэра пе{+11%ег/1р+аб1ез для 
создания отчета аудита. Просмотр этих правил должен быть частью этапа аудита/ 
проверки жизненного цикла системы организации. 


Резюме 


Защита Ііпих-сервера в сети очень важна. Большинство вредоносных атак про- 
исходит именно из сети, особенно из Интернета. В этой главе были рассмотрены 
основы, необходимые для обеспечения безопасности сервера. 

Защита сетевых служб может стать проще после определения и удаления всех 
ненужных служб. Здесь вам поможет утилита птар. Кроме того, вы можете исполь- 
зовать утилиту птар для аудита широковещательных сетевых служб вашего Глпих- 
сервера. Подобный аудит помогает определить, какие модификации брандмауэра 
необходимы. 

Последние версии систем Еейога и КНЕТ. добавили службу Е1гема11а в качестве 
внешнего интерфейса к брандмауэру 1реаб1ез, встроенному в ядро Глпих. С по- 
мощью инструмента #1гема114-соп1в и веб-интерфейса СосКкріє вы можете легко 
открывать порты в брандмауэре, чтобы разрешить доступ к выбранным службам. 
Брандмауэр пе{+11+ег/1реаб1ез — это программный брандмауэр на основе хоста 
на сетевом уровне. Им управляют утилиты ірёаб1еѕ и ірбёаб1еѕ. С их помощью 
можно создать ряд политик и правил для каждого сетевого пакета, проходящего 
через сервер Шпих. 

На данном этапе прочтения книги вы должны хорошо понимать, что относится 
к настройке и защите настольных и серверных систем пих. В следующих двух 
главах мы распространим эти знания на облачные вычисления и виртуализацию. 


Упражнения 


Обратитесь к материалам этой главы, чтобы выполнить приведенные далее упраж- 
нения. Если затрудняетесь с решением заданий, воспользуйтесь ответами к упраж- 
нениям, приведенными в приложении Б (хотя Ілпих позволяет решать задачи раз- 
ными способами). Выполните упражнение самостоятельно, прежде чем обратиться 
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к ответам. Задачи подходят для систем Еедога или Кеа На Ещегризе Глпих (неко- 
торые сработают и в других системах Глпих). Пожалуйста, не используйте рабочую 
систему, чтобы протестировать команды ір+ађ1еѕ, как предлагается в упражнениях. 
Хотя показанные здесь команды не изменят ваш брандмауэр навсегда (старые пра- 
вила вернутся при перезапуске службы брандмауэра), его неправильные настройки 
могут открыть нежелательный доступ. 


1. 
2. 


10. 


Установите утилиту Мебуогк Маррег в локальную систему Глпих. 

Запустите сканирование ТСР-соединения на своем локальном петлевом 
([оорБасК) адресе. На каких портах работает служба? 

Запустите проверку ОЮР-портов в своей системе Гіпих из удаленной системы. 
Проверьте, работает ли в вашей системе служба Ғігема114. Если нет, установите 
Ғігема114 и +1геша11 -соп+1в, а затем запустите и включите эту службу. 
Используйте окно Егема! СопйдигаНоп (Настройка межсетевого экрана), чтобы 
открыть доступ к защищенным (ТСР-порт 443) и небезопасным (ТСР-порт 80) 
портам веб-службы. 

Определите текущие политики и правила брандмауэра пе{+11+ег/1рфаб1е$ 
в своей системе Глпих. 

Сохраните текущие правила брандмауэра своей системы Глпих, очистите их, 
а затем восстановите. 


Для брандмауэра системы Глпих установите политику таблицы +114ег для 
входной цепочки в значение ОВОР. 


Измените политику таблицы +11+ег брандмауэра системы Глпах обратно на 
ассер* для входной цепочки, а затем добавьте правило для удаления всех сете- 
вых пакетов с ІР-адреса 10.140.67.23. 


Не сбрасывая и не восстанавливая правила брандмауэра системы Глпих, удалите 
только что добавленное правило. 


Часть МІ 


Работа с облачными 
вычислениями 


В этой части 


= Глава 26. Работа с облаками и контейнерами. 
ш Глава 27. Облачные вычисления в системе Ипих. 
ш Глава 28. Развертывание приложений Мпих 
в облаке. 
ш Глава 29. Автоматизация приложений 
и инфраструктуры с помощью системы АпзЫе. 


ш Глава 30. Развертывание приложений 
в контейнеры с помощью кластера Кибегпеїеѕ. 


Работа с облаками 
и контейнерами 


В этой главе 


и Ключевые технологии облачных вычислений. 
и Работа контейнеров Ипих. 


т Установка и запуск контейнерного программного 
обеспечения. 


и Работа образов контейнеров. 
и Перезапуск остановленного контейнера. 
ш Построение образа контейнера. 


ш Пометка и перемещение изображений 
контейнеров в реестр. 


Хотя большая часть этой книги посвящена установке отдельных компьютеров, 
служб и приложений и управлению ими, в следующих главах рассматриваются 
технологии, необходимые для внедрения Глпих в крупные центры обработки дан- 
ных. Чтобы центр обработки данных работал эффективно, его компьютеры долж- 
ны стать как можно более универсальными, а работающие компоненты — более 
автоматизированными. Главы данной части посвящены технологиям, благодаря 
которым это достигается. 

Компьютеры становятся более универсальными, когда приложения отделяются 
от операционных систем. Это означает не только упаковку приложений в пакеты, 
которые устанавливаются в операционной системе (например, пакеты ВРМ или 
Ре), но и объединение наборов программного обеспечения в пакеты, которые мо- 
гут работать сами по себе после отрыва их от операционной системы. Виртуальные 
машины (УМ) и контейнеры — это два варианта упаковки наборов программного 
обеспечения и их зависимостей. 

Если смотреть глубже, виртуальная машина — это полная операционная си- 
стема, работающая в другой операционной системе, что позволяет одновременно 
иметь множество виртуальных машин на одном физическом компьютере. Все, что 
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необходимо для запуска приложения или службы, может храниться в этой вирту- 
альной машине или в подключенном хранилище. 

Виртуальная машина имеет собственные ядро, файловую систему, таблицу про- 
цессов, сетевые интерфейсы и другие функции операционной системы отдельно 
от хоста, при этом использует процессор и оперативную память совместно с хост- 
системой. Вы можете развернуть эту виртуальную машину в физической системе 
таким образом, чтобы легко было запустить приложение, а затем отключить ее, ко- 
гда закончите работу с ней. Вы можете запустить несколько виртуальных машин на 
одном компьютере или клонировать УМ и запустить на нескольких компьютерах. 
Термин «виртуальная машина» возник из-за того, что каждая УМ видит эмуляцию 
компьютерного оборудования, а не непосредственно само оборудование. 

Контейнер похож на виртуальную машину, с той лишь разницей, что у него нет 
собственного ядра. В большинстве других функций контейнер похож на УМ втом 
смысле, что его пространства имен отделены от операционной системы хоста и вы 
можете перемещать их с хоста на хост, чтобы запускать там, где это удобно. 

В главах этой части мы познакомимся с концепциями, инструментами и тех- 
нологиями, необходимыми для работы с облачными вычислениями. Вы можете 
попробовать использовать виртуальные машины на одном хосте Гіпих с помощью 
КУМ. Затем УМ можно развернуть в облачных хранилищах, таких как ОрепЅѓаск 
и Атахоп Мер Зегу1сез (АҮ). 

Чтобы развернуть наборы хостов, будь то коммутатор без ОС или облако, не- 
обходимо применять технологию АпѕіБе. С помощью Ап Ые р|ауБооК$ вы можете 
также определять программное обеспечение, которое устанавливается и запуска- 
ется на каждой хост-системе. 

Что касается контейнеров, то проект Киђегпеѓеѕ привлек внимание в качестве 
ведущей технологии организации огромного количества контейнеров в крупных 
центрах обработки данных. Такие продукты, как Кей Нас Ореп К, обеспечивают 
поддержку платформ Киђегпеѓеѕ на крупных предприятиях. 

Технология, которая несколько лет назад положила начало потоку контей- 
неров, — это проект ОосКег. Команда аосКег и ее демон предлагали упрощенные 
способы создания и запуска контейнеров в системах Гіпих. Сегодня стандартизи- 
рованные контейнерные форматы (такие как Ореп Сопќаіпег Іһійіайуе) и другие 
контейнерные инструменты, например роатап, предлагают способы работы с кон- 
тейнерами, лучше согласующиеся с экосистемой Киђегпеѓеѕ. 

Дальнейший материал этой главы посвящен началу работы с контейнерами. 
Здесь рассматриваются команды доскег и родтап, а также другие популярные ин- 
струменты для работы с отдельными контейнерами. 


Контейнеры в системе Ипих 


Контейнеры упрощают загрузку и запуск приложений, а затем отменяют их работу, 
когда вы закончите. Есть несколько вещей, которые необходимо знать о контейне- 
рах, прежде чем приступать к работе. 
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Работая с контейнерами, пользователи называют объект, который вы переме- 
щаете, образом контейнера (или просто образом). Когда вы запускаете этот образ 
или когда он приостановлен либо остановлен, он называется контейнером. 

Контейнер остается отделенным от хост-системы и использует собственный 
набор пространств имен. Обычно пользователи создают свои образы контейнеров, 
получая защищенный базовый образ, а затем добавляют собственные слои про- 
граммного обеспечения поверх этого образа, чтобы создать новый. Чтобы поде- 
литься своими образами, необходимо переместить их в общие реестры контейнеров, 
доступ к которым есть у других пользователей. 


Пространство имен 


Поддержка в Глпиах пространств имен — это то, что позволяет контейнерам су- 
ществовать. С помощью пространств имен ядро [пих может связать один или 
несколько процессов с набором ресурсов. Обычные процессы, а не те, которые 
выполняются в контейнере, используют одни и те же пространства имен хостов. 
По умолчанию процессы в контейнере видят только пространства имен контейнера, 
а не пространства имен хоста. Пространства имен включают в себя следующее. 


ө Таблица процессов. Контейнер имеет собственный набор идентификаторов 
процессов и по умолчанию может видеть только процессы, запущенные внутри 
контейнера. И если РІР 1 на хосте — это процесс инициализации (ѕуѕёета), 
то в контейнере РТО 1 является первым процессом, запущенным внутри него. 


© Сетевой интерфейс. По умолчанию контейнер имеет один сетевой интерфейс 
(еһе), и при запуске контейнера назначается ТР-адрес. По умолчанию служба, 
запущенная внутри контейнера (например, веб-сервер, прослушивающий пор- 
ты 80 и 443), недоступна за пределами хост-системы. Плюсом этого является то, 
что сотни веб-серверов могут работать на одном хосте и не будут между собой 
конфликтовать. Недостаток заключается в том, что вам нужно управлять тем, 
как эти порты отображаются за пределами хоста. 


® Таблица монтирования. По умолчанию контейнер не может видеть корневую 
файловую систему хоста или любую другую смонтированную файловую систе- 
му, указанную в таблице монтирования хоста. Контейнер имеет собственную 
файловую систему, состоящую из приложения и любых зависимостей, которые 
ему нужно запустить. Файлы или каталоги, требующиеся от хоста, могут быть 
выборочно привязаны внутри контейнера. 


ө Ір пользователя. Хотя контейнеризованные процессы выполняются как ОТО 
в пространстве имен хоста, другой набор ОТО вложен в контейнер. Это может, 
например, позволить процессу работать от имени суперпользователя в контей- 
нере, но не иметь никаких особых привилегий для хост-системы. 


® Пространство ОТ$. Пространство имен ОТ5 позволяет контейнеризованному 
процессу иметь другой хост и доменное имя, отличное от имени хоста. 
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е Контрольная группа (сэгоир). В некоторых системах Глпих, таких как Еейога 
и ВКНЕГ, контейнеризованный процесс выполняется в пределах выбранной 
контрольной группы и не может видеть другие контрольные группы, доступные 
в хост-системе. 


е Межпроцессное взаимодействие (іпќег-ргосеѕѕ соттишсайоп, ІРС). Контей- 
неризованный процесс не может видеть пространство имен ТРС с хоста. 


Хотя доступ к любому пространству имен хостов ограничен по умолчанию, при- 
вилегии для пространств имен можно открывать выборочно. Так что вы можете 
выполнять такие действия, как монтирование файлов конфигурации или данных 
внутри контейнера и сопоставление портов контейнера с портами хоста, чтобы 
выставить их за пределы хоста. 


Реестры контейнеров 


Контейнеры постоянно хранятся в так называемом реестре контейнеров. Когда 
вы хотите поделиться созданным образом контейнера, поместите его в публичный 
или частный реестр, который ведете сами (например, реестр Кеа Наб Оџау). Если 
кто-то захочет использовать образ, он возьмет его из реестра. 

Существуют большие общедоступные реестры образов контейнеров, например 
Юоскег Нир (аоскегіо) и Оџау Керіѕігу (Оцау.о). На этих сайтах можно зарегистри- 
роваться бесплатно и начать работу с контейнерами. Если вы хотите получить 
доступ к дополнительным функциям, например сохранить свой реестр в тайне, 
необходимо приобрести премиум-аккаунт. 


Базовые образы и слои 


Вы можете создать контейнер с нуля, однако чаще всего он создается с помощью 
хорошо известного базового образа и нового программного обеспечения. Базовый 
образ обычно совпадает с операционной системой, из которой вы устанавливаете 
программное обеспечение в свой контейнер. 

Можете скачать официальные базовые образы для ОЪипќи (пиБ.аоскег.сот/_/ 
ирипёи), Сет ОЗ (Һир.доскег.соту/_/сепёоѕ), Еейога (пиБ.доскег.сот/_/Меаога) и многих 
других дистрибутивов Глпих. Эти дистрибутивы используют различные формы 
базовых образов, например стандартные и упрощенные версии. Существуют также 
базовые образы, которые можно построить на основе среды р|р, Реті, ]ауа и других 
сред разработки. 

Кеа Наб использует подписку для работы со своим программным обеспече- 
нием, но если вы хотите взять его в качестве основы для образов контейнеров, то 
у Кеа Наб в свободном доступе есть каталог Ве Наб Сопбатег СаѓаІое (ОВІЅ) для 
стандартных, минимальных и многих других контейнеров времени выполнения. 
Эти образы можно найти, применяя поиск О ВТ в каталоге контейнеров Кеа На 
(саѓаІод.гейһа.сот/ѕоймаге/сопќаіпегѕ/ехріоге). 
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Вы можете добавить программное обеспечение в базовый образ с помощью та- 
ких команд, как досКег, Би11а или родтап. Используя ЮосКкегћ1е для определения 
сборки, добавьте команду уит аре -ве для установки программного обеспечения 
из репозиториев в свой новый контейнер. 

Программное обеспечение, добавленное к образу, создает новый слой, чтобы 
стать частью нового образа. Повторное применение одних и тех же базовых образов 
для создаваемых контейнеров дает ряд преимуществ. Одним из них является то, 
что при запуске образа контейнера на хосте требуется только одна копия базового 
образа. Таким образом, если вы запускаете десять различных контейнеров на ос- 
нове одного и того же базового образа, вам нужно только один раз вытащить и со- 
хранить базовый образ, а затем добавить лишь несколько мегабайт дополнительных 
данных для каждого нового образа. 

Если вы посмотрите на содержимое базового образа, то увидите, что он вы- 
глядит, как небольшая файловая система Глпих. Файлы конфигурации находятся 
в каталоге /еёс, исполняемые файлы — в каталогах /біп и /$61п, а библиотеки — 
в каталоге /115. Другими словами, он будет получать основные компоненты, не- 
обходимые приложению, из хост-системы Гіпих. 

Имейте в виду, что образы контейнеров, которые вы запускаете, не обязательно 
должны соответствовать хост-системе Глпих. Так, например, вы можете запустить 
базовый образ Еейога в системе ОЪипќи, если в образ контейнера не встроены кон- 
кретные требования к ядру или библиотеке. 


Начало работы с контейнерами Шпих 


Для запуска контейнеров в системе Глпих требуется небольшая подготовка. Сле- 
дующие действия описывают, как подготовить систему Глпих к началу работы 
с контейнерами. 

У Роскег Тпс. теперь есть бесплатная версия программного обеспечения, до- 
ступная через проект Мођу, а сам ОосКег стал коммерческим продуктом. Чтобы 
опробовать более старую версию пакета ӣоскег, можете, установив пакет доскег, 
а затем запустив и включив службу аоскег, выполнить в системе КНЕГ. 7 следу- 
ющие действия: 

# уит іпѕ+а11 аоскег -у 


# ѕуѕетс+1 ѕ+агі доскег 
# ѕуѕетс+1 епаб1е Яоскег 


Команда родтап поддерживает большинство параметров командной строки доскег 
для работы с контейнерами, поэтому ее можно использовать вместо команды досКег. 
Имейте в виду, что у команды родтап другая кодовая база, в отличие от аоскег, хотя 
и поддерживает аналогичные параметры команд управления. С командой родтап вам 
не нужно запускать службу, как происходит во время работы с командой доскег. Что- 
бы установить пакет родтап на Еейога или КНЕГ, выполните следующую команду: 


# уит 11$%а11 родтап -у 
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Теперь можно применять команды роатап или досКег для работы с контейнера- 
ми и образами контейнеров для проработки примеров этой главы. 


Загрузка и запуск контейнеров 


Установив и подготовив к использованию пакеты доскег или родтап, вы можете 
попробовать запустить контейнер. Для начала перетащите контейнер в свою ло- 
кальную систему и запустите его. При желании можете пропустить команду ри11, 
так как запуск контейнера приведет к ошибке, если запрошенного образа еще нет 
в вашей системе. 


Загрузка контейнера 


Выберите надежный образ контейнера для тестирования из официального источ- 
ника, актуального и желательно проверенного на наличие уязвимостей. Вот при- 
мер загрузки базового образа ВНЕГ, 8 ОВІ с помощью команды родтап (в этих 
примерах можно заменить команду роатап на доскег): 


# родтап ри11 геріѕ+гу.ассеѕѕ.гедһа+. сот/ирі8/ибі 

Тгуіпе +о ри11 .../иб18/ич61...беее1тв ітаре ѕоигсе ѕірпаёигеѕ 
Соруіпе Ь10о6 +4984а+26684а1 опе 

Соруіпе Ь10о6 сЬ3с77+#96Ьаав опе 

Сору1п= сопҒів @96бсаебба2 Попе 

Мгібіпе тапіҒеѕї фо ітаре еѕбіпа+іоп 

Ѕёогіпв $1епафиге$ 
@9бсаебба2078ҒҒ2603а2#820628685066091е4е2823809445ае+6б8аа2316300с7 


Чтобы убедиться, что образ находится в вашей системе, выполните следующие 
действия: 
# родтап ітареѕ 


КЕРОЅІТОКҮ ТАС ІМАСЕ Ір СКЕАТЕР ЅІ2Е 
/ирів/ирі Та езЕ @96саебба207 2 меекѕ аро 239 М 


Запуск командной оболочки из контейнера 


Используйте команды роатап или досКег для запуска оболочки внутри контейнера. 
Можно идентифицировать образ либо по его идентификатору (ё96саеб5а207), либо 
по имени (гедіѕігу.ассеѕѕ.гейһаё.сот/иЫі8/иЫ). Задействуйте параметры -1 (іпёегасёіме) 
и -+ (ёегтіпа1), чтобы подключить интерактивный сеанс внутри контейнера из 
оболочки Баѕћ: 


# родтап гип -1% 096саеб5а207 Ббаѕћһ 
[гоо+@е9086баабеа7е /]# 


При запущенной оболочке команды, которые вы вводите, будут работать 
в контейнере. Например, вы перечисляете файловую систему контейнера или 
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проверяете файл оѕ-ге1еаѕе, чтобы увидеть операционную систему, на которой 
основан контейнер: 


[гоо{@е90864абеа70 /]# 15 / 

ріп ем Һоме 11064 ме41а орї гоо $61т 5ѕ5уѕ иѕг 
роо ес 11р Іоѕі+Ғоипа мп ргос гип 5згу мр маг 
[гоо&@е9086аабей70 /]# са /ефс/о$-ге1еазе | ргер ^МАМЕ 
МАМЕ="Кеа На Епфегрг1$е і іпих" 


Поскольку контейнеры предназначены для хранения минимального объема 
содержимого, необходимого для запуска предполагаемого приложения, многих 
стандартных инструментов в контейнере может не быть. Вы можете установить 
программное обеспечение в работающий контейнер. Однако имейте в виду, что 
контейнеры — вещь непостоянная. Поэтому, если хотите добавить программное 
обеспечение на постоянной основе, необходимо создать новый образ, чтобы вклю- 
чить в него нужное ПО. 

Вот пример добавления программного обеспечения в работающий контейнер: 


[гоо{@е90864абеа70 /]# уит 1п$%а11 ргосрѕ іргои+е -у 
Теперь можно запускать команды как рѕ и ір внутри контейнера. 


[гоо{@е908649абеа70 /]# рѕ -е+ 


ито РТО РРІЮ С 5ТІМЕ ТТУ ТІМЕ СМО 
гоо 1 0 ө 17:44 ріѕ5/0 00:00:00 Баѕһ 
гоо 40 1 Ө 17:45 рїѕ/0 00:00:00 рѕ -е+ 


[гоо{@е90864абеа70 /]# ір а 
1: 10: <ЕООРВАСК ‚УР , ГОМЕК_УР> шеи 65536 ... 
іпеё 127.0.0.1/8 ѕсоре Поз+ 1о 


3: еће@1+11: <ВКОАРсСАЅТ,МОІТІСАЅТ, ОР, ГОМЕК_УР> шеи 1500 ... 
іпе 10.88.0.6/16 Бга 10.88.255.255 ѕсоре р1Іоба1 еһе 


Обратите внимание на то, что внутри контейнера запущены только два процес- 
са — оболочка и команда рѕ. РІЮ 1 — это оболочка Баѕћ. Часть вывода из команды 
ір а показывает, что существует только один внешний сетевой интерфейс из кон- 
тейнера (е+һ0@1+11) и ему присвоен ІР-адрес 10.88.0.6/16. 

Закончив, введите команду ехіё, чтобы выйти из оболочки и остановить кон- 
тейнер: 

[гоо{@е90864абеа70 /]# ехі+ 


Хотя оболочка и контейнер больше не работают, контейнер по-прежнему досту- 
пен в вашей системе в остановленном состоянии. Обратите внимание, что просто 
команда родтап рѕ не отображает контейнер — нужно добавить параметр --а11: 


[гоо{@е90864абеа70 /]# родтап рѕ 


СОМТАТМЕВ ТО ІМАСЕ СОММАМО САЕАТЕО $ТАТУ$ РОКТЅ МАМЕЅ 
[гоо@е9@8баабеа76 /]# роатап рѕ --а11 
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СОМТАІМЕК ТО ТМАСЕ СОММАМО СКЕАТЕР ЅТАТОЅ РОКТЅ5 
МАМЕЅ 

437ес53386са ...ирі:1а+еѕї Баѕћһ 1 һои” аро Ор 1 тіпи+е аро 

во еіп 


Позже вы узнаете, как удалить и перезапустить остановленный контейнер. 26 


Запуск ЕТР-сервера из контейнера 


Всегда должна быть возможность удалить контейнер, закончив работу с ним, но 
при этом сохранять любые изменяемые данные вне контейнера. Далее приведен 
простой пример запуска ЕТР-сервера (уѕ#+ёра) из контейнера. Если хотите решить 
этот пример самостоятельно, рекомендую перейти к подразделу «Создание образа 
контейнера» далее в этом разделе, чтобы узнать, как самостоятельно создать образ 
контейнера м5 ра. 

Для этого вам понадобятся файл конфигурации (м5+ра.соп®) и каталог ЕТР, 
содержащий один или два файла для совместного использования (/маг/+Ер/риб) 
в хост-системе. Когда контейнер уѕ#ёра запускается, он связывает эти элементы 
в контейнер в виде томов. 


1. Создайте файл узЁр4.сопЁ. Создайте файл $ ра. соп+ в папке по умолчанию 
/еЕс/мзЕЕра/м$ ра. соп+ (дополнительные сведения см. на справочной страни- 
це у$РЕра.соп+), например: 


апопуточ$_епаб1е=УЕ$ 
1оса1_ епаб1е=ҮЕЅ 

мгіе епаб1е=ҮЕЅ 

Іоса1 итаѕк=022 
аігтеѕѕаре епаб1е=ҮЕЅ 
хҒег1ов_ епаб1е=№о 
соппесі_ гот рог _20=ҮЕЅ 
11 феп=МО 

Ііѕеп іруб=ҮЕЅ 

рат ѕегуісе пате=%у5ѕ#6Єра 
иѕег1151+ епаб1е=ҮЕЅ 
фср_мгаррег$=МО 
У$ЕЕра_1о8_+11е=/аем/Еаои* 
ѕуѕ1ор епаб1е=№0 
баскегоипа=№о 
раѕу_епаб1е=Үеѕ 

раѕу мах _рогї=21100 

раѕу тіп рог+=21110 


2. Создайте каталог Ёр. Создайте анонимный ЕТР-каталог службы уѕ#&ра для 
совместного использования в месте стандартного расположения на хосте (/маг/ 
Ер/риЬ) и скопируйте в него несколько файлов: 


# мкаіг -р /маг/Ғер/риБ 
# ср /еёс/ѕегуісеѕ /еіс/1оріп.Ӣе#ѕ /маг/Ғёр/рир/ 
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3. Загрузите образ контейнера узЁра. Создайте образ уѕ#+ра, как описано в раз- 
деле «Создание образа контейнера» далее в этой главе. Чтобы проверить, мож- 
но ли его запустить, введите следующее: 


# родтап ітареѕ 
КЕРОЗТТОКУ ТАС ТМАСЕ ТО СВЕАТЕВ ЗТИЕ 
Ура Іаеѕі 4874049626098 5 ѕесопаѕ аро 208 МВ 


4. Запустить образ контейнера узЁр4. При запуске контейнера ура необхо- 
димо предоставить доступ к портам и монтировать файлы с хоста в контейнер. 
Вот пример (вы можете использовать команду доскКег вместо родтап): 


# роатап гип -а -р 20:20 -р 21:21 \ 
-р 21100-21110:21100-21110 \ 

-м /еёс/мѕ#&ра/ : /еёс/мѕ+ёра/ \ 

-м /маг/ЕЕр/риБ: /маг/Ер/риЬ \ 

--пате у5+Ера мѕ+&ра 


# роатап рѕ 
СОМТАІМЕК ТО ІМАСЕ СОММАМО СКЕАТЕР 
ЅТАТЏЅ РОВТ$ МАМЕ$ 


3а5а09444465 уѕҒЕра:1аеѕ+ /изг/1оса1/$2... 9 ѕесопӣѕ аро 
Ор 10 ѕесопӣѕ аро 0.0.0.0:20-21->20-21/+ср \мз+РЕра 


В примере используются следующие параметры: 


® -а— запускает контейнер отдельно, поэтому служба уѕ#+ра работает в фоновом 
режиме; 


® -р— стандартные ЕТР-порты (ТСР 20 и ТСР 21) сопоставляются с одинаковы- 
ми номерами портов на сетевых интерфейсах хоста, поэтому доступ к службе 
можно получить за пределами локального хоста. Ряд портов, необходимых для 
пассивного сервера ЕТР, также открыт для их аналогов на хосте (21100-21116); 


® --ги — хотя этот параметр не входит в пример, при добавлении в командную 
строку он будет удалять контейнер при выходе из него; 


® ү —– чтобы использовать файлы конфигурации (каталог /еёс/уѕ ра) и содержи- 
мое, которым вы хотите поделиться (каталог /маг/+Ер) из хост-системы, эти ка- 
талоги привязываются к тем же местоположениям в контейнере с параметром -\; 


Ф --паше — установите имя контейнера уѕ#+ра (или любое другое, которое вам 
нравится). 


Имейте в виду, что можно привязать содержимое контейнера и порты к другим 
местам расположения на хосте. Таким образом вы получите несколько версий 
одного и того же программного обеспечения, работающих на одном хосте и не 
конфликтующих друг с другом. 

Чтобы сделать свою службу м$Ера доступной за пределами локальной системы, 
обязательно откройте ЕТР-порты и пассивные ЕТР-порты, которые вы только что 
назначили, следующим образом: 

# Ғігема11-ста --хгопе=риб11с --а@а-зегу1се=РЕр 


# Ғігема11-ста --хопе=риЬ11с \ 
--регтапепё - -ааа-ѕегмісе=Ғір 
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# Ғігема11-ста --хопе=риб11с \ 
--айа-рог+=21100-21110/+ср 
# Ғігема11-ста - -2опе=риБ1іс \ 
--регтапепё - -ааа-рогі=21100-21110/+їср 
# Ғігема11-ста ге1оаа 


Теперь можно применить любой ЕТР-клиент для доступа к ЕТР-службе через 
анонимного пользователя. Для дальнейшей настройки службы уѕ#+ра и проверки 
ее работоспособности обратитесь к главе 18 «Настройка ЕТР-сервера». 


Запуск и остановка контейнеров 


Если вы специально не настраивали контейнер для удаления при его остановке 
(параметр - -гт), то если контейнер остановлен, приостановлен или просто вы- 
ходит из строя, он все еще будет находиться в вашей системе. Вы можете увидеть 
состояние всех контейнеров в системе (запущенных в данный момент или нет) 
с помощью параметра рѕ: 


# роатап рѕ 

СОМТАІМЕК ТР ІМАСЕ СОММАМО СКЕАТЕр 
ЅТАТЏЅ РОКТ$ МАМЕЅ 

4аббеЗебзҒез 1Іоса1һоѕі/уѕҒёра:1аёеѕї /иѕг/1оса1/52... Абои+ ап 

һои” аро 


Ор Абои+ ап һоиг аро 0.0.0.0:20-21->20-21/&ср \м$Рра 
# роатап рѕ -а 


СОМТАІМЕК 10 ІМАСЕ СОММАМО СКЕАТЕВ 

УТАТИ$ РОКТ$ МАМЕЅ 
79а886962667 ирі8/ирі:1а+еѕ+ раѕћ 2 піпи+еѕ 
аво 


Ехі+еа 7 ѕесопӣѕ аро 5111у моғпіак 
4аббеЗебзҒез 1Іоса1һоѕі/уѕҒёра:1аёеѕї /иѕг/1оса1/521/ғи... АбоцЕ ап 
һоиҝ” аро 

Ор Абои+ ап һоиг аро 0.0.0.0:20-21->20-21/&ср уѕҒ+ра 


Только запущенные контейнеры отображаются с помощью роатап рѕ. Добавив 
параметр -а, вы можете увидеть все контейнеры, включая те, которые больше 
не работают, но еще не удалены. Вы можете перезапустить существующий нера- 
ботающий контейнер, используя параметр ѕ+агї. 


# родтап $Фагф -а 74а886462667 
[гоо*@74а8864962667 /]# 


Перезапущенный контейнер запускает оболочку БазВ. Поскольку сеанс терми- 
нала контейнера уже существовал, не было необходимости начинать новый ( -1*). 
Нужно было прикрепить его (-а) к существующему сеансу. Контейнер, который 
только что работал в отключенном режиме, можно просто запустить и остановить 
по мере необходимости: 

# ротап ѕ&ор 446беЗебз+ғез 
4а6ЪеЗеб3еЗ3... 


# родтап $фаге 446ЬеЗзеб3+ез 
4а6беЗебз+Ғез 
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Обратите внимание на то, что, если контейнер запущен с параметром --гт, он 
будет удален, как только вы его остановите. Таким образом, вам придется запустить 
новый контейнер вместо того, чтобы просто перезапустить старый. Поскольку 
файлы конфигурации и данные хранятся вне контейнера, запустить новый можно 
легко и безболезненно. Обновить приложение в будущем так же просто, как уда- 
лить старый контейнер и запустить его из обновленного образа контейнера. 


Создание образа контейнера 


Чтобы создать образ контейнера, вам нужен лишь файл Ооскеге, описывающий, 
как создать образ и любое содержимое, которое вы хотите включить в него. Сле- 
дующие действия описывают, как создать простой контейнер из вашего собствен- 
ного файла ЮосКкегћіе и как загрузить программное обеспечение, необходимое для 
создания службы уѕ#+ра, в контейнер из программного обеспечения, доступного 
на веб-сервисе СієНирЬ. 


Создание простого образа контейнера 


Сделав приведенные далее шаги, вы создадите простой контейнер из файла 
Юоскегће. Сначала формируются файл Поскег@е и простой скрипт, затем они 
добавляются в новый образ контейнера. 


1. Создайте каталог, в котором будет храниться контейнер, и введите следующее: 


# ткаіг тургојес+ 
# са тургојесі 


2. Создайте скрипт под названием смогК$® . ѕћ в этом каталоге, содержащем следу- 
ющий текст: 


#1/6іп/баѕћ 

ѕе -о еггехії 

ѕе -о поипѕе+ 

её -о ріреғҒаі1 

есһо "Тһіѕ Сопёаіпе” МогК$!" 


3. Создайте в этом каталоге файл с именем роскег+і1е и следующим содержимым: 


ЕВОМ ге215+гу.ассе$$ .гедНа*. сот/ибі7 /ирі-тіпіта1 
СОРҮ „/смогК$.$5Н /ч$г/1оса1/61п/ 
смо ["/иѕг/1оса1/біп/смогкѕ.5ћ" ] 


4. Создайте образ контейнера с именем тургојес+ из файла роскег+і1е: 


# роатап Би11а -+ тургодес* . 

ЅТЕР 1: РЕКОМ періѕЁгу.ассеѕѕ. гейһа+. сот/иб 17 /и61 -т1п1та1 

ЅТЕР 2: СОРУ ./смогК$.$П /иѕг/1оса1/біп/ 
63824+400+76е9+1а64с033515а09е+{37с6с691244сБеб4+4533а49+00аа9709 
ЅТЕР 3: СМО ["/ч$г/1оса1/61п/смогК$.$П" ] 

ЅТЕР 4: СОММТТ тургојес+ 

6837ес3а37а241... 
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5. Запустите контейнер, чтобы проверить, работает ли он. Для этого можно ис- 
пользовать либо имя контейнера (тургојес+), либо идентификатор его образа 
(6837ес3а37а241): 


# родтап гип 6837ес3а37а241 
Тһе Сопёаіпег Могкѕ! 


Создание ЕТР-контейнера из веб-сервиса СИНиЬ 


Следующие шаги позволяют загрузить программное обеспечение, необходимое для 
создания службы \м$%ра, в контейнер из веб-сервиса СієНир. Затем мы рассмотрим, 
как настроить и запустить этот контейнер. 


1. Если у вас еще нет пакета в1*, установите его в своей локальной системе: 
# уит 11$%а11 вії -у 


2. Начнем с проекта уѕ#&ра сопёаіпег-ітавеѕ на СИНиВ. Создайте копию этого 
программного обеспечения в локальном каталоге следующим образом: 


# рії с1опе 

ћерѕ : //51ВиЬ . сот/ сопёаіпег-імтавеѕ/м5Ғ#іра. рії 

# са уѕҒіра 

# 15 

аеҒаи1+-сопғ/ Ооскег+11е ГІСЕМЅЕ МаКке+11е КЕАРМЕ.та 
гоо+/ 521/ +еѕ15/ 


3. Изменяйте файлы по мере необходимости. В частности, перейдите в Ооскегће 
и используйте последний доступный образ Еедога. Опуская : ар в конце име- 
ни изображения, следует искать версию этого изображения, которая включает 
в себя тег :1а+еѕё — специальный тег, идентифицирующий последнюю доступ- 
ную версию этого образа. Например, измените строку ЕВОМ в начале так, чтобы 
она выглядела следующим образом: 


ЕВОМ геріѕігу . Ғейогаргојес+.огв/Ғейога 


4. Из каталога уѕ#єра используйте команду аоскег или родтап для создания образа 
контейнера, например: 


# родтап биі1а -+ уѕ+Ғ+ра . 

ЅТЕР 1: ҒКОМ геріѕігу. Ғейогаргојесі.огр/Ғейога: 31 

беёіпр 1таре ѕоигсе ѕірпаёигеѕ 

Соруіпе 6106 сда89еҒа8873 опе 

Сору1п= сопҒів ааааЗе1аба опе 

Мгібіпе тапіҒеѕі фо ітаре еѕбіпа+іоп 

Ѕіогіпе ѕірпаЁигеѕ 

ЅТЕР 2: ЕМУ Ѕ0ММАКҮ= "\Мегу Ѕесиге ЕЁр Ваетоп" 

ЅТЕР 3: АВЕ таіпёаіпег="Рротіпіка Нодо\у$Ка <аһодомѕКк@гедһа+. сот>" 


ЅТЕР 4: КОМ апт 1п$%а11 -у \$+РЕра && апф с1еап а11 
&& ткаіг /поте/м$ЕЕра 
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Тп${а111п2: 
Ура х86 64 3.0.3-32.#с31 Ғеаога 164 К 


Сотр1е+е! 

99931652асеасс2е9... 

ЅТЕР 5: \МОШОМЕ /маг/1о05/\м$Ера 
6796229409+726356... 

ЅТЕР 6: ЕХРОЅЕ 20 21 
60а+5428800140104... 

ЅТЕР 7: КОМ ткаіг -р ${АРР_ОАТА}/5гс 
63652е0407е35а+79... 

ЅТЕР 8: МОККОТВ Ф{АРР РАТА} /ѕгс 
Ғ9а96ӣееб40с5сеас... 

ЅТЕР 9: СОРУ ./521/біп/ /иѕғ/10са1/521 
деа906512693ссађаа... 

ЅТЕР 10: СОРУ ае+Ғаи1+-сопҒ/м5+ера.соп# /еЕс/м$ЕЕра/м$ ра. сот 
Өс48ағ8а4#72676с7... 

ЅТЕР 11: СМО [" /иѕг/1оса1/52і/гип" ] 
ЅТЕР 12: СОММТТ \м$+ра 
аа0274872+23ае944ее... 


5. Убедитесь, что новый образ создан: 


# роатап ітареѕ 
КЕРОЗТТОКУ ТАС ІМАСЕ Ір СВЕАТЕВ ЗТИЕ 
1оса1Ио${/ ира Іа+еѕї аа0274872+23 4 тіпиёеѕ аро 607 МВ 


Целиком процесс состоит из 12 шагов. Строка ЕВОМ на первом шаге извлекает 
образ едога из реестра контейнеров геріѕёгу. Ғейогаргојесё. ога. На каждом по- 
следующем шаге выполняется команда. Если содержимое добавляется во время 
выполнения команды, для образа создается новый слой. Шаги 2 и 3 устанавливают 
переменные среды и метки, которые используются во время сборки, а также для 
идентификации атрибутов образа контейнера при его дальнейшем применении. 

Шаг 4 запускает команду ап+, которая устанавливает пакет 5+ ра из репозито- 
рия Ее4ога уит в контейнер. Обратите внимание на то, что инструкция КОМ содержит 
как ап+ 1п5%а11, так и ап+ с1еап. Это предотвращает включение дополнительного 
слоя кэшированных данных ап+ в образ. 

Шаг 5 определяет том, используемый для хранения файлов журнала ура. 
Шаг 6 добавляет ТСР-порты 20 и 21 для службы ЕТР. Обратите внимание: даже 
если порты открыты (то есть их можно увидеть снаружи контейнера), они все равно 
должны быть сопоставлены с портами хоста при последующем запуске контейнера, 
если вы хотите, чтобы эти порты были доступны за пределами локальной системы. 

Шаги 7 и 8 создают каталог и устанавливают его в качестве рабочего каталога 
для приложения. Шаг 9 копирует скрипты ѕоигсе-+о-ітаве ($21) в контейнер 
для запуска службы уѕ#єра. Шаг 10 копирует файл конфигурации по умолчанию 
у$РЕра .соп+ в контейнер. 

На шаге 11 инструкция СМР” устанавливает каталог /изг/1оса1/$21/гип в каче- 
стве команды по умолчанию, если контейнер запускается без ее переопределения. 
Шаг 12 фиксирует окончательный образ уѕ+#%ра в локальном хранилище (которое 
можно увидеть, набрав команду родтап ітареѕ). 
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Дополнительные сведения о создании и использовании Ооскег@е для создания 
образов контейнеров см. в справочнике ЮосКегће (аосз.доскег.сот/епдте/гегегепсе/ 
Бийаег/). Чтобы узнать больше о вариантах построения образов контейнеров, об- 
ратитесь к справочным страницам команды роатап (тап роатап Би1 19). 


Добавление тегов и загрузка образа в реестр 


До сих пор я показывал, как создавать образ контейнера и запускать его в вашей 
локальной системе. Чтобы сделать образ доступным для других пользователей 
в других системах, необходимо добавить его в реестр контейнеров. 

Следуйте дальнейшим инструкциям, чтобы пометить образ в локальной системе 
и отправить его в удаленный реестр контейнеров. 

Чтобы опробовать простой реестр в локальной системе, установите дистрибу- 
тив доскег в систему Еейога или КНЕГ. 7. Можете также завести учетные записи 
в публичных реестрах контейнеров, например в Опау.1о и Ооскег Нир. Как бесплат- 
ные пробные версии, так и подписки доступны на странице Опау іо (дчау.іо/ріапѕ/). 
Вдобавок можете настроить и запустить собственный поддерживаемый реестр 
контейнеров, например Кеа Наё Опау (ммм. орепзН.сот/ргодисЕ/аицау). 

Чтобы начать работу, установите пакет аоскег-аіѕіірийоп в локальную систему, 
а затем пометьте и вставьте в него образ. 


1. Установите дистрибутив 4осКег. В системах КНЕГ. 7 или Еейога последней 
версии установите и запустите дистрибутив аосКег: 


# уит 11$%а11 ЯӢоскег-Яіѕігіри+іоп -у 
# Ѕуѕ+етсё1 зфагф доскег-91$%г1Би1оп 
# ѕуѕ+етсё1 епаб1е досКег-91$г1Би1оп 
# ѕуѕ+етсё1 зФафи$ досКег-41$г1Би1оп 
• Чоскег-491$Ег1Би1оп. зегу1се-\у2 Керіѕігу зегуег Ғог роскег 
Іоаеа: 1оадеа 
(/иѕг/116Ь/ѕуѕ+ета/ ѕуѕбет/ аоскег-аіѕёгіри+ћіоп. ѕегуісе; 
епаб1еа; уепӣог ргеѕ> 
Асііме: асЕ1уе (гипп1пё) ѕіпсе Меа 2020-01-01... 


2. Откройте порт реестра. Чтобы иметь возможность загружать и устанавливать 
образы контейнеров из других хост-систем, необходимо открыть ТСР-порт 5000 
на брандмауэре: 


# Ғігема11-ста - -2опе=риБ1іс 
--ааа-рогі=5000/+ср - -регтапеп+ 


3. Установите тегк образу. Пометив локальный образ, определите местоположе- 
ние реестра, в котором образ будет храниться. Замените идентификатор образа 
и һоѕЁ.ехатр1е. сот идентификатором образа и именем хоста или ТР-адресом, 
чтобы пометить изображение: 
# родтап ітареѕ | вгер уѕҒёра 
Іоса1һоѕ/%5#©ра 1аёеѕїі аа0274872+23 2 һоигѕ аро 607 МВ 


# роатап +ар аа0274872+23 
ћоѕ .ехатр1е. сот: 5000 /тум$ ра: \1.0 
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4. Добавьте образ в реестр. Вставьте образ в локальный реестр (замените имя 
хоста или ІР-адрес). Отключите +15-уегі+у, так как йоскег-геріѕёгу использует 
протокол Ир: 


# родтап риѕћ --+15-мегі+у=Ға1ѕе 
һоѕ.ехатр1е. сот: 5000 /тум$ ра: \1.0 


5. Загрузите образ из реестра. Чтобы убедиться, что образ можно загрузить из 
реестра, попробуйте сделать это. Для этого либо удалите образ из локальной 
системы, либо перейдите на другой хост: 


# родтап ри11 --+15-мегі+у=Ға1ѕе \ 
һоѕ .ехатр1е . сот: 5000 /тум$Ера:\1.0 


Теперь у вас есть возможность делиться своими образами с другими пользова- 
телями из собственного реестра. 

Для загрузки из публичного реестра и добавления в него образа необходимо 
выполнить следующее: 
# родтап 1оріп дцау.1о 


Узегпате: туомпиѕегпате 
Раззмога: ***жжжжжжжжжжжж 


# родтап +аё аа0274872+23 \ 
Ччау . іо/туомпиѕегпате/тумѕ Ера :м1.ө 
# родтап риѕћһ диау.іо/туомпиѕегпате/тууѕ+&ра:м1.0 


Контейнеры на предприятии 


Проект РосКег успешно упростил использование отдельных контейнеров, однако 
именно проект Киђегпеѓеѕ помог продвинуть применение контейнеров Глпих на 
предприятиях. В то время как инструменты командной строки, такие как доскег 
и ройтап, задействуются для управления отдельными контейнерами, КиБегпеѓеѕ 
предлагает целую платформу для развертывания больших и сложных приложе- 
ний в огромных центрах обработки данных. Сведения о том, как использовать 
Кирегпеѓеѕ для развертывания контейнерных приложений на предприятии и управ- 
ления ими, см. в главе 30 «Развертывание приложений в контейнеры с помощью 
кластера Кибегпебез». 


Резюме 


В последние несколько лет контейнеры получили широкое распространение. 
Проект РоскКег внес огромный вклад в упрощение контейнеризации отдельных 
приложений и запуска их на некоторых системах. Такие инструменты, как роатап, 
также стали доступны для развертывания и управления отдельными контейнерами 
в системах пих. 
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В этой главе описано, как извлекать, запускать, создавать контейнеры и управ- 


лять ими с помощью инструментов командной строки, доскег и роатап. Эти знания 
являются основой понимания того, как работает контейнеризация и как это ис- 
пользуется в Киђегпеѓеѕ для управления контейнерными приложениями на пред- 
приятии в целом, что будет описано в главе 30. 


Упражнения 


Упражнения в этом разделе связаны с работой с контейнерами. Если затрудняетесь 
с решением заданий, воспользуйтесь ответами к упражнениям, приведенными 
в приложении Б (хотя Глпиах позволяет решать задачи разными способами). 


1. 


Выберите инструмент родтап (для любой системы ВНЕГ. или Еейога) или доскег 
(ВНЕГ 7), установите пакет программного обеспечения, содержащий этот 
инструмент, и запустите все необходимые службы для использования данных 
команд. 


С помощью команды аосКег или родтап добавьте этот образ на свой хост: 


геріѕїігу.ассеѕѕ. гейһа. сот/ирі7 /ирі 


Запустите образ иб17/и61, чтобы открыть оболочку Баѕћ. 


Когда оболочка Баѕћ открыта внутри контейнера, выполните несколько команд, 
чтобы увидеть операционную систему, на которой основан контейнер, устано- 
вите пакет ргос-р$, выполните команду, чтобы увидеть процессы, запущенные 
внутри контейнера, а затем выйдите. 


Снова перезагрузите контейнер и подключитесь к нему с помощью интерактив- 
ной оболочки. Выйдите из оболочки, когда закончите. 


Создайте простой файл Поскег е из базового образа ирі7/ирі, включите скрипт 
смогК$ . $, который выводит строку Тһе Сопёаіпег Могкѕ! и добавляет этот 
скрипт к образу, чтобы он выполнялся как команда по умолчанию. 


Используйте команду доскег или родтап для создания образа сопёаіпегмогкѕ 
из только что созданного файла Поскеге. 


Получите доступ к реестру контейнеров, установив дистрибутив доскег или 
создав учетную запись на Опау.1о или осКег Нир. 


Пометьте и вставьте новый образ в выбранный реестр контейнеров. 


Облачные вычисления 
в системе Ипих 


В этой главе 


и Использование системы пих в облаках. 
и Базовые облачные технологии. 

ш Настройка гипервизора. 

и Создание виртуальных машин. 


Операционные системы изначально предназначались для установки непосред- 
ственно на компьютерное оборудование. Если требовались память, хранилище, 
вычислительная мощность или сетевые интерфейсы, компьютерная операционная 
система искала физическую оперативную память, жесткие диски, процессоры 
и карты сетевых интерфейсов. Если данных ресурсов требовалось больше, чем 
установлено, приходилось добавлять их вручную и физически. В настоящее время 
виртуализация таких элементов — это то, что делает облачные вычисления воз- 
можными. 

Виртуализация в том, что касается компьютеров, — это акт создания вычис- 
лительных ресурсов, которые изначально были спроектированы как физические 
объекты, а далее стали виртуальными. Например, виртуальная операционная 
система, называемая виртуальной машиной (УМ), не взаимодействует напрямую 
с физическим обеспечением. Она взаимодействует со специально сконфигури- 
рованным хост-компьютером, называемым гипервизором, поэтому вместо того, 
чтобы запускать одну операционную систему на физическом компьютере, вы мо- 
жете запустить десятки или даже сотни виртуальных машин на одном физическом 
компьютере. 

Преимущества запуска виртуальных машин огромны. На одном компьютере 
могут работать не только несколько операционных систем, но и разные системы — 
Тіпих, ВЗО, \/ш4о\$ или любая другая, созданная для работы на аппаратном 
обеспечении компьютера. Если вам нужно выключить главный компьютер для 
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обслуживания, можете перенести запущенные виртуальные машины на другой 
гипервизор и тем самым допустить лишь незначительные простои. 

Чтобы поддерживать виртуальные машины на нескольких гипервизорах, вы 
можете виртуализировать функции их поддержки. Например, виртуальные сети 
и виртуальное хранилище могут работать с несколькими гипервизорами, поэтому, 
если УМ должна перейти на другой гипервизор, на ней будут доступны те же вир- 
туальные сети и хранилище. 

Вам не нужно строить целый центр обработки данных, чтобы начать понимать 
виртуализацию и использовать некоторые из базовых технологий, делающих облач- 
ные вычисления возможными. Эта глава поможет настроить главный компьютер 
для работы в качестве гипервизора, запустить на нем виртуальные машины, а затем 
научиться переносить их на другие гипервизоры, чтобы предотвратить простои или 
просто увеличить емкость. 


Облачные вычисления в Шпих 


Облачные вычисления привели нас ктому, что все, чему вы научились ранее в этой 
книге, отходит на второй план и автоматизируется. В облачной среде при установке 
системы не нужно загружаться с физического РУР”, стирать локальный жесткий 
диск и устанавливать Глпих непосредственно на физический компьютер. Нет необ- 
ходимости входить в установленную систему и настраивать вручную программное 
обеспечение и функции, которые хотите запустить в этой системе. 

Вместо этого вы устанавливаете систему на виртуальную машину или запускаете 
контейнер, который находится в хост-системе в облаке. Сетевые интерфейсы могут 
быть представлены не физическим коммутатором, а виртуальными сетями, которые 
существуют на одном компьютере или охватывают несколько гипервизоров. 

Сегодня каждый программный аспект облачных вычислений может быть реа- 
лизован с помощью технологии с открытым исходным кодом, работающей на си- 
стемах Глпих. Чтобы получить представление о том, как действуют некоторые из 
основных технологий облачных вычислений, поговорим о них в этой главе, а затем 
будет описано, как настроить гипервизор и начать применять на нем виртуальные 
машины. 


Гипервизоры (вычислительные узлы) 


В облачных вычислениях операционные системы, обслуживающие облачных поль- 
зователей, не работают непосредственно на компьютерном оборудовании. Вместо 
этого гипервизоры настраиваются для запуска многих операционных систем в ка- 
честве так называемых виртуальных машин. 

В зависимости от вашей облачной среды гипервизор может называться вы- 
числительным узлом, рабочим узлом или просто хостом. Поскольку гипервизоры, 
как правило, являются отдельными элементами (десятки или сотни гипервизоров 
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могут быть настроены для определенного местоположения), система Глпиах — это 
отличный выбор операционной системы, работающей так же, как гипервизоры, 
непосредственно на оборудовании. 

Виртуальная машина Кеғте/[-раѕеа Утиа Мас№пте (КҮМ) — это базовая тех- 
нология виртуализации, реализованная в большинстве дистрибутивов Глпих для 
преобразования системы Глпиах в гипервизор. КУМ поддерживается в Обири, Кеа 
Наб Ещегри!зе Глпих, Еейога, Сет ОЗ и многих других системах. 

Другая важная технология, которая может быть использована вместо КУМ для 
превращения системы пих в гипервизор, — это проект Хеп (ум. хепргодесе.ога). 
Хеп существует дольше, чем КУМ, и поддерживается в системах СКих Зузетз 
и Огасе. 

Далее в этой главе я расскажу, как проверить, есть ли у компьютера необходи- 
мые аппаратные возможности для применения его в качестве гипервизора, и как 
настроить его для использования с машиной КУМ. 


Облачные контроллеры 


Поскольку настройка облака может включать в себя несколько гипервизоров, пу- 
лов хранилищ, виртуальных сетей и множество виртуальных машин, необходимы 
централизованные инструменты для управления этими функциями и их монито- 
ринга. Для управления облачными средами можно использовать как графические 
инструменты, так и инструменты командной строки. 

Графический интерфейс Упбиа| Мас те Мапарег (\1г{ тапарег), хотя он и не 
считается полноценным облачным контроллером, и команда уігѕһћ могут исполь- 
зоваться для управления небольшой облачной средой. Применяя уігё -тапавек, 
вы можете получить представление об управлении несколькими виртуальными 
машинами через несколько гипервизоров, а также научиться работать с виртуаль- 
ными сетями и общими пулами хранения. 

Полномасштабные облачные платформы имеют собственные контроллеры для 
обеспечения гораздо более сложных взаимодействий между облачными компонен- 
тами. Например, платформа Кеа Наё ОрепрЅќаск (ассеѕѕ.гейһаї.сот/ргоаисіѕ/геа-һаї- 
орепѕїаск-ріаїогт) и ее проект ВОО (имуму.гаоргојесі.ого) предоставляют гибкие расширя- 
емые облачные среды для управления виртуальными машинами и всеми связанными 
с ними вспомогательными функциями. Для Кеа Наѓ Уігіша|іхайор (КНУ) менеджер 
КНУ предоставляет многие из тех же функций. Однако, если вы хотите начать с более 
простого варианта управления своей первой мини-облачной средой, начните с ис- 
пользования команды уігё -тапавег и инструмента УМ ПезКбор. 


Облачное хранилище 


Новые требования к хранению данных возникают при перемещении операцион- 
ных систем и приложений в облачную среду. Чтобы виртуальная машина могла 
работать на другом гипервизоре, ее хранилище должно быть доступно с нового 
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гипервизора. Облачное хранилище включает в себя внутреннее хранилище для 
виртуальных машин, образы для запуска УМ и базы данных для хранения инфор- 
мации о самом облаке. 

Совместное хранилище для нескольких гипервизоров сделать так же просто, как 
и создать общий ресурс МЕЅ (см. главу 20 «Настройка МЕЅ-сервера») и установить 
его в одной точке монтирования между несколькими гипервизорами. МЕЅ — это 
один из самых простых способов реализации общего хранилища. 

Более надежное общее хранилище, способное обрабатывать сбои дисков и обе- 
спечивать более высокую производительность, лучше работает для облаков, предо- 
ставляющих критически важные службы. Совместное блочное хранилище, где вы 
монтируете целый диск или раздел диска, может быть выполнено с помощью таких 
технологий, как 15 СЗ] или Ете СБаппе]. 

Сер (серн.сот) — это проект с открытым исходным кодом для управления как 
блочным, так и объектным хранилищем, который часто используется для управ- 
ления хранилищем в облачных средах. СІиѕќегЕЅ (ммм. аи$(ег.огд) — это масштаби- 
руемая файловая система, часто применяемая в облачных средах. 

В простом примере мини-облака в этой главе с целью предоставления общего 
хранилища для гипервизоров я взял МЕЅ. Серћ и Сш$егЕ$ лучше подходят для 
установки на предприятиях. 


Аутентификация в облаке 


Чтобы иметь возможность ограничить объем облачных ресурсов, потребляемых 
пользователем, и, возможно, отслеживать и взимать плату за них, вам нужны меха- 
низмы аутентификации. Аутентификация необходима как для тех, кто применяет 
облачные функции, так и для тех, кому разрешено их администрировать. 

Проекты облачных платформ иногда позволяют подключать централизованные 
механизмы аутентификации для проверки и авторизации облачных пользователей. 
К ним можно отнести Кегђегоѕ, МісгоѕоЁс Асйуе Отесботу и др. В Глпах программ- 
ное обеспечение Т4епибу, Ройсу и АиаЦ (ТРА) (см. ммм геера.ога)) предлагает пол- 
ный набор функций аутентификации, которые могут работать на корпоративной 
облачной платформе. 


Развертывание и настройка облака 


Если вы управляете большой облачной инфраструктурой, вам не нужно подходить 
к каждой машине и использовать установку через графический интерфейс каждый 
раз, когда нужно добавить в свою сеть гипервизор или другой узел. Сегодня мно- 
гие инструменты могут развертывать и настраивать системы Глпих так же просто, 
как перезагружать компьютер и загружать его до предварительно настроенного 
инсталлятора. 

В главе 9 «Установка пих» я говорил о том, как применять РХЕ-сервер (для 
автоматической загрузки инсталлятора Глпах по сети со своей карты сетевого 
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интерфейса) и файлы КасКзбаг (для определения всех ответов, необходимых для 
завершения установки). С этой настройкой вы можете просто загрузить компьютер 
с сетевого интерфейса и автоматически установить систему Шіпих. 

После развертывания компьютера системы могут быть сконфигурированы 
и, возможно, отслежены и обновлены с помощью таких инструментов, как Рирреѓ 
(риррейаБѕ.сот) и СБеЁ (млм. спе лю). Целые рабочие среды могут быть развернуты 
в виртуальных машинах с помощью инструмента Уавтапі (уулу.мад гапёир.сот). 
АпѕіЫе (ммм.апѕіЫе.сот) — это еще один инструмент для автоматизации ИТ-инфра- 
структур и приложений, которые на них работают. 


Облачные платформы 


Если вы хотите реализовать в организации собственное частное облако, платформа 
ОрепЅѓасК с открытым исходным кодом поможет вам в этом. Ее настройки гибкие 
и мощные. 

Вед Наг УігіџаЇіхайоп (КНУ) — еще одна популярная облачная платформа. Она 
позволяет начать с простого менеджера КНУ и одного или двух гипервизоров для 
запуска виртуальных машин, которыми она управляет, а затем развить облачную 
платформу, добавив больше гипервизоров, пулов хранения и других функций. 

Если вы хотите использовать общедоступные облака, основанные на техноло- 
гии с открытым исходным кодом, для запуска необходимых операционных систем, 
задействуйте любой из облачных провайдеров. Поставщики общедоступных об- 
лаков, которые можно применять для запуска виртуальных машин [іпих, — это 
Атахоп \\еБ Зегу1сез (млм. атагоп.сот/амз), Сооз]е Соца Р]1аМогт (сіоиа.доодіе.сот) 
и КасКзрасе (ммм.гаскѕрасе.сот). Глава 28 «Развертывание приложений Глпих в об- 
лаке» описывает, как использовать систему Глпах в некоторых из них. 


Базовые облачные технологии 


Чтобы вы могли разобраться в основах облачных технологий, в этом разделе 
показаны некоторые из основных строительных блоков современной облачной 
инфраструктуры. Взяв три компьютера, я помогу вам создать установку, которая 
включает в себя следующее. 


® Гипервизоры. Гипервизор — это программный компонент, который позволяет 
запускать на нем несколько других компьютерных систем. Эти системы на- 
зываются виртуальными машинами (УМ). В облачной инфраструктуре могут 
работать десятки или сотни гипервизоров и тысячи виртуальных машин. 


® Виртуальные машины. Виртуальные машины, которые вы запускаете на гипер- 
визоре Глпих, могут быть одним и тем же типом системы Гіпих, иной системой 
Тліпих, системой \УЛт4о\$ или любым другим типом системы, совместимым 
с оборудованием, на котором работает гипервизор. Таким образом, виртуаль- 
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ные машины, работающие на гипервизорах, которые мы здесь построим, могут 
включать системы Ее4ога, ОБиши, ВНЕГ, СепбО$, Мисгозой Міпіожѕ и др. 


Общее хранилище. Чтобы обеспечить максимальную гибкость, хранилище, ко- 
торое гипервизоры предоставляют виртуальным машинам, часто используется 
пулом гипервизоров совместно. Это позволяет им применять общий набор об- 
разов для установки или запуска виртуальных машин, а также дает возможность 
одним и тем же виртуальным машинам работать на любом гипервизоре из груп- 
пы и даже перемещаться на другой гипервизор, не выключаясь. Перемещение 
запущенных виртуальных машин полезно, когда гипервизор перегружается или 
если его необходимо выключить для обслуживания. 


Вот что включает в себя конфигурация, которая позволяет работать с вирту- 


альными машинами: 


установка новой виртуальной машины на гипервизор; 

настройка функций на виртуальных машинах; 

вход в виртуальную машину, работающую на гипервизоре, и ее использование; 
перемещение запущенных виртуальных машин на другой гипервизор. 


Мы рассмотрим следующие технологии. 


Кегпе1-Баѕеа Упиа! Масһіпе (КУМ). КУМ — это базовая технология ядра, 
которая позволяет виртуальным машинам взаимодействовать с ядром пих. 


ОЕМО Ргосеѕѕог Етиаќог. Для каждой активной виртуальной машины в си- 
стеме выполняется один процесс дети. ОЕМ О предоставляет функции, которые 
заставляют каждую УМ вести себя так, как будто она работает на физическом 
оборудовании. 


ТлЬуїгі Ѕегуісе Оаетоп (БЬуігёа). На каждом гипервизоре работает одна служба 
1іруіг+а. Демон 1ібуіг+а прослушивает запросы на запуск, остановку, паузу 
и иные действия по управлению виртуальными машинами на гипервизоре. 
Эти запросы могут поступать из приложения, предназначенного для управления 
УМ (например, уіг+-тапавег или ОрепЅѓаск ОаѕћЬоага), или из приложения, 
созданного для непосредственного взаимодействия с интерфейсом прикладного 
программирования 11буіг+. 


Ушша! Масһіпе Мапазег. Диспетчер виртуальных машин (команда уіг+- 
тапарег) — это графический инструмент для управления УМ. Помимо того что 
у1гЕ-папавег позволяет запрашивать запуск и остановку виртуальных машин, 
он обеспечивает установку и настройку виртуальных машин, а также управле- 
ние ими различными способами. Вы можете задействовать команду уігѕћ для 
передачи параметров в командную строку для работы с виртуальными маши- 
нами вместо использования окна графического интерфейса. 


УпшбиаНтаноп Уіеуег. Команда уіг-уіемег запускает на рабочем столе окно 
консоли виртуальной машины. Это окно позволяет работать из окна кон- 
соли, с рабочего стола или из интерфейса командной строки, с выбранной 
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виртуальной машины (в зависимости от того, что может предложить УМ). Это 
означает, что кто-то потребляющий ваши вычисления Раа$ («платформа как 
услуга» ) может объединить собственную операционную систему, приложение, 
файлы конфигурации и данные и развернуть их. Они будут полагаться на ваши 
Раа$ для обеспечения вычислительной мощности, хранения, памяти, сетевых 
интерфейсов и функций управления, необходимых для запуска виртуальных 
машин, содержащих их приложения. 


В следующем разделе вы познакомитесь с некоторыми основополагающими 
технологиями облаков Глпих. В нем описывается, как создать небольшое об- 
лако, настроив собственные гипервизоры, виртуальные машины и виртуальное 
хранилище. 


Создание небольшого облака 


С помощью трех физических машин, объединенных в сеть, можно проиллюстри- 
ровать некоторые основные понятия, необходимые для понимания того, как по- 
строить собственное облако. Три компьютера под управлением системы Еейога 30 
и соединяющая их сеть настроены следующим образом. 


® Сеть. Для соединения трех компьютеров создается высокоскоростная про- 
водная сеть. Быстрые сетевые подключения имеют решающее значение для 
успешной миграции виртуальных машин. В этом примере каждый гипервизор 
имеет также сетевой мост, настроенный таким образом, чтобы каждая вирту- 
альная машина могла получать ІР-адрес непосредственно из службы ОНСР 
в сети. 


® Гипервизоры. Два компьютера настроены как гипервизоры. Гипервизор (иногда 
называемый хост-вычислительным узлом) позволяет запускать виртуальные 
машины. В системе Еедога 30 базовая технология гипервизора называется 
Кетеі-раѕеа Утиа Масйте (КУМ), в то время как фактическими виртуальными 
машинами управляет служба іруіг+а. 


® Хранилище. Один компьютер настроен как общее хранилище для двух гипер- 
визоров. Для создания общего хранилища используется сервер МЕЅ, так проще, 
хотя в производственной среде лучше выбирать технологии 15С$1 или Е1те 
Сраппе|. 


ПРИМЕЧАНИЕ 


В тестовых целях вы можете сделать так, чтобы один из двух гипервизоров выполнял функции общего хранили- 
ща. Однако одна из основных целей настройки двух гипервизоров и отдельного общего хранилища заключается 
в том, что у вас есть возможность отключить любой гипервизор и при этом все виртуальные машины будут рабо- 
тать. Если же общее хранилище реализовано на одном из гипервизоров, нельзя будет его отключать, не выклю- 
чив все использующие его виртуальные машины. 
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Настройка гипервизоров 


В следующем примере я установил Ее4ога 30 на два физических компьютера 
и настроил их как КУМ-хосты, на которых работает служба 11іруіг+а. Выполните 
следующие действия, чтобы сделать то же самое у себя. 


Шаг 1. Загрузить программное обеспечение Мпих 


Перейдите на страницу Сей Редога (деіеаога.огд) и скачайте Еедога 30. Я решил 
загрузить дистрибутив Еедога 30, 64-битную версию Ұогкѕ(айоп через образ на 
РУ-носителе. Если доступна более поздняя версия Еедога, можете взять ее. 

Используйте любое доступное приложение для записи ОУ, чтобы записать 
образ на РУР или иным образом сделать его доступным для установки (например, 
при загрузке РХЕ). 


Шаг 2. Проверить компьютеры 


Компьютеры, которые вы используете в качестве гипервизоров в системе Еейога 30, 
должны соответствовать нескольким требованиям. Перед началом установки про- 
верьте на своем компьютере: 


® поддержку виртуализации — это можно сделать, посмотрев на флаги, установ- 
ленные в процессоре; 


® память — компьютер должен иметь достаточно оперативной памяти не только 
для запуска основной операционной системы, но и для каждой виртуальной 
машины, которая запускается в системе; 


® мощность процессора — имейте в виду, что каждая виртуальная машина по- 
требляет вычислительную мощность для себя и любого приложения, работа- 
ющего внутри нее. 


Необходимо принять во внимание также хранилище и его объем. Но, поскольку 
мы намерены настроить хранилище с отдельного узла в сети, рассмотрим эту тему 
позднее. 

Чтобы убедиться, что доступные функции ваших компьютеров соответствуют 
требованиям, загрузите Глпих Глуе с носителя — С” или ОУ, откройте окно тер- 
минала и введите следующую команду: 


# саф /ргос/сриіпғо | вгер --со1ог -Е "мтх | ѕут|1т" 


Е1арѕ : #ри уте ае рѕе 5с тѕг рае тсе сх8 аріс ѕер мегг рве тса 
стоу раї рѕе36 с11и$Н 4$ асрі штх #хѕг ѕѕе ѕ5е2 55 НЕ Ёт рбе 
Ѕуѕса11 пх раре1еб гаёѕср Іт сопѕ&апі Ёѕс агсһ рег+топ ребѕ Б+ѕ 
гер рооа х+оро1ору попѕ+ор ѕс арег+трег+ рпі рс1ти1ааа Ябеѕ64 
топі+ог 45 ср1 утх ѕтх еѕ... 
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Выполнение команды показывает, что этот компьютер 64-разрядный (1) и чип 
Пе! поддерживает функции виртуализации (уптх). Если бы процессор был чипом 
АМР, поддерживающим виртуализацию, а не ух, вы бы увидели пункт ѕупт. Эти на- 
стройки говорят о том, что компьютер можно использовать в качестве гипервизора. 

В начале запуска виртуальных машин на хосте памяти часто может не хватать. 
Нужно добавить необходимое количество памяти для хоста и для каждой вирту- 
альной машины. 

Вы можете снизить требования к памяти, не устанавливая настольное про- 
граммное обеспечение, как делает большинство гипервизоров. Однако я в примере 
установил рабочую станцию Еедога, которая поставляется вместе с рабочим столом. 
Чтобы проверить память и раздел подкачки на компьютере, я ввел следующее: 


# Ғгее -т 

фофа1 иѕеа Ғгее Ѕѕһагеа Би++/сасНе а\а11аб1е 
Мет: 15318 4182 6331 1047 4805 9678 
Ѕмар: 7743 [2] 7743 


Эта система имеет около 16 Гбайт оперативной памяти и 8 Гбайт подкачки. 
Я считаю, что 4 Гбайт хватит для настольной системы. 

Если я задам 1 или 2 Гбайт для каждой виртуальной машины, эта система смо- 
жет запускать 6-12 виртуальных машин и рабочий стол. Проверьте требования 
к памяти для операционных систем и приложений, которые планируете запускать, 
чтобы определить конкретные потребности в памяти для вашей системы. 

Чтобы проверить количество и типы процессоров на своем компьютере, введите 
следующие данные: 


# вгер ргосеѕѕог /ргос/сриіпҒо 
ргосеѕѕог : @ 
ргосе$$ог : 6 


ргосе$$ог : 7 
# һеаа /ргос/сриіп+о 


ргосе$5ог : 9 

уепаог іа : бепи1пеТи{е1 

сри Ғамі1у : 6 

тоае1 : 60 

тоде1 паме : Іпбе1(К) Соге(ТМ) 17-4800М0 СРО @ 2.706Н2 
ѕёерріпе 53 

сри МНЕ : 2701.000 


сасһе $17е : 6144 КВ 


Первая команда в коде показывает, что на компьютере имеется восемь (от 0 
до 7) процессоров. Вторая команда для первого процессора показывает, что это 
СепиіпеГтќе!, и дает его номер модели, ее название, скорость процессора и другую 
информацию. 

Чтобы переносить виртуальные машины в реальном времени между двумя ги- 
первизорами, процессоры должны находиться в одном семействе. Если у них нет 
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совместимых процессоров, можете перенести виртуальную машину, выключив ее 
на одном гипервизоре и запустив из общего хранилища на другом. 

После того как вы определили размеры двух гипервизоров, начните устанавли- 
вать на них систему Еедога. 


Шаг 3. Загрузить пих на гипервизоры 


Используя установочный носитель Еейога 30 У/’откзайоп, начните установку двух 
гипервизоров. Придерживайтесь процедуры установки системы Ее4ога, приведен- 
ной в главе 9 «Установка Глпих». Необходимо знать о настройках, специфичных 
для нее. 


Ф Имена гипервизоров. Я установил имена хостов на гипервизорах в һоѕї1.ехатр- 
Іе.сот и ћоѕі2.ехатріе.сот. 


® Разбиение дисков. При разбиении на разделы я стираю весь жесткий диск 
целиком. Затем создаю раздел /Боо* размером 500 Мбайт и раздел подкачки 
12 Гбайт, а остальную часть дискового пространства назначаю корневому разде- 
лу (/). Каталог /маг/116/11руігё/ітавеѕ содержит большую часть данных этой 
системы, но это общий каталог, доступный из другой системы в сети и совместно 
используемый двумя гипервизорами. (Об этом позже.) 


® Сеть. Если есть такая возможность, включите проводные сетевые интерфей- 
сы для каждого гипервизора. Гипервизоры и хранилище должны находиться 
в одной локальной сети, поскольку скорость сетевого соединения между этими 
машинами имеет решающее значение для достижения хорошей производитель- 
ности. 


® Пакеты программного обеспечения. Я устанавливаю только стандартные па- 
кеты Еейога У/огкзбайоп. После завершения установки и перезагрузки системы 
устанавливаю дополнительное программное обеспечение, необходимое для 
каждого гипервизора. 


После завершения установки перезагрузите компьютер (извлеките РУБ и за- 
пустите на жестком диске). После перезагрузки системы обновите программное 
обеспечение Еейога, добавьте новые пакеты и снова перезагрузите систему следу- 
ющим образом: 

# уит ирда+е -у 
# уит 11$%а11 у1гЕ-тапарег 1іруіг+-даетоп-сопҒ1іє-пемогк 
# героо 


Пакет уігі-тапарег содержит графический инструмент для управления вир- 
туальными машинами. Пакет 1ібуігі-даетоп-соп#ір-пеёмогКк создает сетевой 
интерфейс по умолчанию, который позволяет виртуальным машинам получать 
доступ к внешним сетям (через хост) с помощью преобразования сетевых адре- 
сов (ЧАТ). Диапазон адресов по умолчанию, назначенный виртуальным маши- 


нам, — от 192.168.122.2 до 192.168.122.254. 
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Другие пакеты, которые вам понадобятся, уже должны быть включены в уста- 
новку Еейога Могкѕќайоп. Если вы выполнили другой тип установки, убедитесь, 
что добавлены следующие пакеты: 


© 1іруігі-с1іеп (для команды уігѕһ); 


® 1іруіг+-даетоп (для службы 146\1г{а). 


Шаг 4. Запустить службы на гипервизорах 


Вам нужно убедиться, что служба 116\1г{4 работает на обоих гипервизорах. 
Запустите также службу ѕ5һа. Возможно, они уже запущены, но, чтобы убедиться 
в этом, выполните от имени суперпользователя на обоих гипервизорах следующие 
действия: 


# ѕуѕёетс+1 $фагф 55һа.ѕегуісе 
# ѕуѕетс+1 епаб1е ѕ5һа. ѕегуісе 
# ѕуѕёетс+1 $Фагф 11руіг+а. ѕегуісе 
# ѕуѕёетс+1 епаб1е 116\1г{а. ѕегуісе 


Служба ѕѕһа позволяет при необходимости входить в гипервизоры по сети. 
Возможно, вы еще не знакомы со службой 11іруіг+а. Она прослушивает запросы 
на управление вашими виртуальными машинами на каждом хосте. 


Шаг 5. Настроить каталог /еїс/ћоѕѕ или сервер 0№5 


Чтобы было удобно взаимодействовать между гипервизорами и системой хране- 
ния данных, вы должны назначить каждой системе имена хостов и сопоставить 
их с [Р-адресами. Настройка ОМ№5-сервера, на который указывают все системы, — 
вероятно, лучигий вариант для этого. Однако в нашем простом примере можете 
просто отредактировать файл /еёс/һоѕ+ѕ во всех системах и добавить записи для 
каждого хоста. 

Вот пример того, как могут выглядеть дополнительные записи в файле /еёс/ 
һоѕ+ѕ для трех систем: 


192.168.0.138 Һһоѕ+1.ехатр1е.сот һоѕ 1 
192.168.0.139 Һһоѕ+2.ехатр1е.сот һоѕ&2 
192.168.0.1 ѕіогаре.ехатр1е.сот ѕёогаре 


Далее необходимо настроить хранилище. 


Настройка хранилища 


Вы можете предоставить сетевое хранилище гипервизорам для этой процедуры 
многими способами. Я решил создать отдельную систему Еейога в той же локаль- 
ной сети, что и гипервизоры, и применить МЕЅ для подключения общего храни- 
лища к обоим гипервизорам. 
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Сервер МЕЅ — не самый эффективный метод совместного использования хра- 
нилища гипервизорами, но один из самых простых и распространенных. Далее 
я покажу, как применять графический инструмент Уігіџаіхабйіоп Мапавег СОТ 
(у1гЕ-тапарег) для настройки пула хранения МЕ$. 

Для обеспечения согласованности задействуется общий ресурс МЕ$, настроен- 
ный из системы хранения, — каталог /маг/116/ 116\1гЕ/1таве$. Он монтируется 
в одном и том же месте на каждом из гипервизоров. (Если у вас только две ма- 
шины, можете настроить хранилище с одного из гипервизоров и протестировать 
его. Однако это означает, что вы не сможете отключить данный гипервизор, не вы- 
ключив все виртуальные машины.) 


Шаг 1. Загрузить программное обеспечение Мпих 


Чтобы настроить хранилище на сервере МЕЅ, можно использовать практически 
любую систему Гпих, имеющую доступ к службе МЕЅ. О чем нужно подумать 
перед установкой пих. 


® Пространство на диске. Убедитесь, что в разделе, содержащем общий каталог, 
достаточно места для хранения. В этом примере общий каталог — это /маг/ 
116/116 \1гЕ/1птабез. 

е Производительность. Для достижения большей производительности необхо- 
дим диск с быстрым доступом и высокой скоростью передачи данных. 


Для дистрибутивов Еейога и КЕНЕТ. программное обеспечение сервера МЕЅ 
доступно из пакета п+$-и{11$. Для дистрибутива ОЪБапи необходим пакет п#$- 
Кегпе1 - зегуег. После завершения первоначальной установки убедитесь, что про- 
граммное обеспечение сервера МЕЅ установлено. Если это не так, можете устано- 
вить его на Еейога или КНЕГ. с помощью команды: 


# уит 11$%а11 п#5-и+115 
Для установки на ОБипеи и похожих системах, введите: 


# аре-веф 1п$а11 п#5-Кегпе1-ѕегуег 


Шаг 2. Настроить общий ресурс МЕЅ 


Чтобы создать общий ресурс МЕЅ, необходимо определить каталог для общего до- 
ступа и добавить информацию о нем в файл /еёс/ехрог+ѕ. Выполните следующие 
действия. 


1. Создайте каталог. Вы можете поделиться любым каталогом, содержащим 
свободное пространство. Подумайте о создании нового каталога и установке 
на него целого диска или раздела. Для этого примера я создаю каталог /маг/ 
ѕогаве следующим образом: 


# мкаіг -р /маг/ѕ&огаве 


784 Часть МІ » Работа с облачными вычислениями 


2. Разрешите экспорт. В своей системе хранения создайте запись в файле /еёс/ 
ехрогіѕ, чтобы поделиться каталогом с выбранными системами (по имени или 
ТР-адресу). В этом примере я разрешил доступ на чтение и запись (гм) ко всем 
системам подсети 192.168.0: 


/маг/ѕ+огаве 192.168.0.*(по_гоо*_зачца$И ‚ гм, упс) 


Шаг 3. Запустить службу МЕЅ 


Запустите службу МЕЅ и откройте брандмауэр в системе хранения, чтобы разре- 
шить доступ к этой службе, следующим образом. 


1. Запустите и включите службу МЕЅ. В последних версиях систем Еейога 
и КНЕ для запуска сервера МЕЅ введите следующие команды: 


# ѕуѕетсі1 $Фагф п#5-ѕегуег.ѕегуісе 
# ѕуѕетс+1 епаб1е п#5-ѕегмег.ѕегмісе 


В ВНЕГ 6, старой версии Ее4ога и некоторых системах ОЪипеи для запуска 
и включения службы МЕЅ используйте команды: 


# зегу1се п#5 $фагЕ 
# сһксопҒір п#5 оп 


2. Откройте брандмауэр. Чтобы открыть порты брандмауэра, позволив находя- 
щимся за пределами локальной системы задействовать ваш общий ресурс МЕЅ, 
в системе Ее4ога 30 выполните следующие действия: 


# Ғігема11-ста --регтапеп - -ааа-ѕегуісе=грс-біпа 
# Ғігема11-ста --регтапепё - -ааа- ѕегмісе=п#ѕ 
# ѕуѕетсі1 гезфагЕ Ғігема114 


Чтобы получить информацию о том, как открыть брандмауэр для службы МЕЅ 
для систем, использующих службу 1р+аб1е$ напрямую, см. главу 20. 


Шаг 4. Смонтировать общий ресурс МЕб на гипервизоры 


Войдите в каждый гипервизор и выполните следующие действия, чтобы сделать 
общий ресурс доступным локально. Обратите внимание на то, что расположение 
каталога точек монтирования на всех гипервизорах должно быть одинаковым. 


1. Проверьте доступность общего ресурса МЕЅ. На каждом из двух гипервизоров 
убедитесь, что можете видеть доступную общую папку, введя следующее: 


# ѕһомтоипЕ -е ѕогаре.ехатр1е. сот 
Ехрог{ 1151 Фог ѕТогаре.ехатр1е. сот: 


/маг/ѕ+огавре 192.168.0.* 


2. Смонтируйте общий ресурс МЕЅ. Добавьте информацию об общем ресур- 
се в файл /еёс/+#ѕ+ар. В нашем примере, чтобы позволить каталогу из систе- 
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мы 192.168.0.1 монтироваться локально в один и тот же каталог при каждой 
загрузке системы, запись в файле /еїс/#ѕ+аь может выглядеть следующим 
образом: 


$фогаве.ехатр1е . сот: /ѕ+огаре /маг/11Ь/1іруігі/ітареѕ п#ѕ ЯӣеҒаџ1+5 0 ө 


3. Установите логические типы ЗЕ пих. Если 5Е тих находится в принудитель- 
ном режиме, установите следующий логический тип, чтобы разрешить команде 
дети-Кут использовать общий ресурс МЕЗ: 


# Ѕеїѕероо1 -Р мігі _иѕе п#ѕ 1 


4. Протестируйте монтирование службы МЕ$. Чтобы проверить правильность 
монтирования, выполните следующую команду для монтирования в файле 
/еєс/#ѕ+ар всех еще не смонтированных записей и убедитесь, что общий ресурс 
МЕБ смонтирован: 


# тоипЕ -а 

# тоипЕ | 2гер 1іруіг+ 

ѕіогаре.ехатр1е. сот: /уаг/Еогаве оп /маг/116/11іруігі/ітареѕ +уре п#54 

(гм, ге1а+іте , уег$=4.0,г517е=1048576 , м$17е=1048576 ‚ пат1еп=255 „һага, ргобо=+ср, 
рогі=0 ,ітео=600, геїгапѕ=2, ѕес=5у5 , с1їіепёаййг=192.168.0.1,10са1 1оск=попе, 
аййг=192.168.0.138) 


Теперь, когда гипервизоры и хранилище установлены, можно приступать к соз- 
данию виртуальных машин. 


Создание виртуальных машин 


Программа Упиа! Масһіпе Мапабег (уігё-тапавег) — это хороший инструмент 
для создания простейших виртуальных машин. Она поможет выполнить установ- 
ку и настройку виртуальных машин, а также позволит просматривать и изменять 
состояние существующих УМ. 

Позже, когда вы поймете, какие функции используются при создании вир- 
туальных машин, сможете применять команду \1г*-1п${а11. Ее преимущество 
заключается в том, что вы можете написать скрипт или легко скопировать и вста- 
вить командную строку для создания виртуальной машины вместо того, чтобы 
использовать окно графического интерфейса. 

Ранее в этой главе мы загрузили 1$О-образ Еейога 30 \/огкзбайоп, поэтому я за- 
действую его в примере создания виртуальной машины. Однако при желании вы 
можете установить в качестве своей УМ множество версий Глпиах или \/ш4о\5. 


Шаг 1. Загрузить образ для создания виртуальных машин 


Виртуальную машину можно создать разными способами. Как правило, вы либо на- 
чинаете с готового образа (в основном копии рабочей виртуальной машины), либо 
устанавливаете ее из установочного 150-образа в новое хранилище. Мы возьмем 
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за основу второй вариант и создадим виртуальную машину из установочного 150- 
образа Еейога 30 У/огкзаоп. 

Предположим, что вы вошли в один из гипервизоров как суперпользователь 
и нашли 180 в текущем каталоге. Скопируйте образ 180 в каталог по умолчанию, 
применяемый командой уігі-папавег для хранения (/маг/116/1іруігї/ітареѕ): 


# ср Ғедога-Когкѕ+аёіоп-ііме-х86 64-30-1.2.150 /маг/11Ь/11іруігё/ітареѕ/ 


Поскольку этот каталог общий для обоих гипервизоров, можете перейти к лю- 
бому из них, чтобы использовать этот образ. 


Шаг 2. Проверить сетевой мост 


На каждом гипервизоре должен быть сетевой мост по умолчанию с именем уігЬге. 
Все виртуальные машины будут добавлены в этот сетевой интерфейс и автоматиче- 
ски присвоены ТР-адресу. Данный мост по умолчанию существует благодаря вир- 
туальной сети 1іруіг+а. Гипервизор использует диапазон адресов от 192.168.122.2 
до 192.168.122.254 для назначения виртуальным машинам. Преобразуя сетевые 
адреса (МАТ), хост может маршрутизировать пакеты от виртуальных машин, при- 
меняющих эти частные адреса, к внешним сетевым интерфейсам. 

Выполните на каждом гипервизоре следующие действия, чтобы проверить 
мосты: 


# БгсЕ1 ѕһом мігрге 


ргіаре пате Бг1аве іа ЅТР епабр1еӣа іп+егғҒасеѕ 
уігрге 8000.001аа047483е уеѕ упе+е 
# ір адаг ѕһом мігрге 


5: \м1иЬг@: <ВКОАРСАЅТ ,МОЕТІСАЅТ,ОР,ОМЕК ОР> ми 1500 дЯіѕс подиеие 
зфафе ОР вгоир ЯеғҒаџ1+ 
1Ііпк/еёһћег +е:54:00:57:71:67 Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ЕЕ: ЕЕ 
іпе 192.168.122.1 бга 192.168.122.255 ѕсоре р1оба1 
аупатіс муігрг@ 


Шаг 3. Запустить программу Уча! Масћіпе Мападег 
(міг -тападег) 


Чтобы открыть программу Уігќџа! Масһћіпе Мапабег и подключить ее к гиперви- 
зору, на рабочем столе любого из гипервизоров выполните следующие действия. 


1. Запустите команду уігё-тапаѕег. Перейдите на экран Асімійеѕ (Приложения), 
введите МігЕџа1 Масһіпе Мапарег в поле поиска и нажмите клавишу Епќег или 
введите команду уігё-тапавег из командной консоли. При появлении запро- 
са введите пароль суперпользователя. Появится программа Уігќџаі Масһћіпе 
Мапабег. 
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2. Проверьте подключение к гипервизору. Во всплывающем окне Ааа СоппесНоп 
(Добавить соединение) уже должны быть установлены гипервизор (ОЕМО/ 
КУМ) и флажок Ащосоппесе (Автосоединение). Нажмите кнопку Соппесї (Под- 
ключиться), чтобы подключиться к локальному гипервизору, если это не про- 
изошло автоматически. 


Шаг 4. Проверить соединение 


После подключения к гипервизору настройте детали подключения. Для этого 
в окне Миа! Масһіпе Мападег выполните следующие действия. 


1. Просмотрите детали подключения. Выберите вкладку Еаї » Соппесіоп Реай$ 
(Изменить » Сведения о соединении), чтобы увидеть окно Соппесіоп Бекай$ (Све- 
дения о соединении). Выберите вкладки Омегмем (Обзор), Міќџа! Мевмогк$ (Вир- 
туальные сети), Ѕќогаде (Хранилище) и №емогКк Іпќегѓасеѕ (Сетевые интерфейсы), 
чтобы ознакомиться с информацией о соединении для вашего гипервизора. 
Например, на вкладке Ѕіогаде (Хранилище) (рис. 27.1) видно, что в распоря- 
жении гипервизора имеется 438,40 Гбайт свободного места (каталог /маг/116/ 


1ібуігі/ітареѕ). 
ла Миа! Масһіпе Мападег (оп һоѕ#2.ехатріе.сот) - ох 
Не Еі \Мем Неір 
8. 18 Ореп " " 
Мате У СРО иѕаде 


Іосаіћоє' (ОЕМО) 


ћоѕі2 СоппесНоп Бе{ай$ (оп ћоѕ2.ехатріе.сот) 
Яіе | 


Омегуіем Мифиа! Мебмогк= Ѕёогаде Мебмогк Іпќегѓасеѕ 


еғаик: 438.40 СІВ Ргее / 4.42 СІВ т (зе 


Мате: | деѓаиіє 


Рос! Туре: Ніеѕуѕќет Оігесёогу 
іосайоп: /маИЙймиИтадез 


Ѕіаѓе: > Асііме 


диќоѕќап: (М Оп Вооё 


ммте: (8) 


Моіитеѕ т 5Ѕбіге Ғогта Оѕеа ву 


Мем Моите | ОеІеќе Моште || Арріу 


Рис. 27.1. Запустите программу УЩиа! Масһіпе Мападег и проверьте сведения о подключении 
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2. 


Убедитесь, что сетевой мост доступен. Выберите вкладку Миа! М№ебмогкѕ (Вир- 
туальные сети) и убедитесь, что мост (у1гбга@) есть в списке доступных сетевых 
интерфейсов. 


Шаг 5. Создать новую виртуальную машину 


Чтобы создать новую виртуальную машину в окне Миа! Масћіпе Мападег, выполните 
следующие действия. 


1. 


Запустите мастер установки. Чтобы открыть окно Сгеае а Меми Үігїџа! Масћіпе 
\М/гага, выберите вкладку Ее » Мем Миа! Маснте (Файл > Новая виртуальная 
машина). Появится окно Сгеаќе а Мем/ Миа! Маснте (Создать новую виртуальную 
машину). 


Выберите способ установки. Есть четыре способа создания виртуальной ма- 
шины. Первые три — это способы определения местоположения установочного 
носителя. Четвертый позволяет импортировать существующий образ диска. 
Здесь выберите первый вариант, Госа! іпѕїа!! теаіа (Локальный установочный 
носитель), и нажмите кнопку Рогмага (Далее). 


Выберите образ 1850. Нажмите кнопку Оѕе 150 Ітаде (Использовать 150-образ) 
и выберите пункт Вгомѕе (Обзор). В появившемся окне перейдите к Еейога 3021 
УУогкѕайор 1850, выберите пункт Сһооѕе Моите (Выбрать том) и нажмите кнопку 
Рогмага (Далее), чтобы продолжить. 


Выберите объем памяти и процессор. Выберите объем оперативной памяти 
и количество процессоров, доступных для виртуальной машины, и нажмите 
кнопку Рогмага (Далее). Я советую взять по крайней мере 1024 Мбайт опера- 
тивной памяти и по крайней мере один процессор. Если доступно 2048 Мбайт 
оперативной памяти, задействуйте этот объем. 


Подключите хранилище. Выберите объем дискового пространства, который 
должна использовать виртуальная машина. Я советую выбрать 10 Гбайт для 
рабочей станции ЕеЯога, но вам, вероятно, хватит и меньшего объема. Создан- 
ный образ дсом2 вырастет до того размера, который вы фактически применяете 
(вплоть до выделенной суммы), поэтому чрезмерное пространство не вызывает 
никаких проблем, пока вы не попытаетесь использовать его. Установите режим 
кэширования попе или аігесёѕупс, чтобы иметь возможность перенести вирту- 
альную машину позже. Нажмите кнопку Ромага (Далее). 


Проверьте все настройки перед началом установки. Выберите имя вирту- 
альной машины и просмотрите другие параметры установки. Выберите пункт 
Сиѕїіотіге Сопідигайоп Веѓоге Іпѕїаі (Настроить конфигурацию перед установкой), 
чтобы еще раз просмотреть настройки. Оставьте настройки по умолчанию и на- 
жмите кнопку Віпіѕћ (Готово). 


Проверьте настройки компьютера. Если на предыдущем экране выбрали пункт 
Сизютйе (Настроить), можете подробно изучить настройки. Убедитесь, что 
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установлен режим кэша попе или аігесёѕупс. Если вас все устраивает, нажмите 
кнопку Ведт Іпѕѓаіайоп (Начать установку). 


8. Установите виртуальную машину. Вы можете установить систему точно так же, 
как если бы делали это непосредственно на компьютере. Завершите установку 
и перезагрузите виртуальную машину. Если окно УМ не открыто, дважды 
щелкните на ее имени (в данном случае +едога1) в окне уігі-тапарег и войдите 
в систему. На рис. 27.2 показан пример окна уігі -тапавег с виртуальной маши- 
ной Еедога МогКкѕќайор. 


ха Миша! Масһћіпе Мападег (оп ћоѕ#2.ехатріе.сот) = а х) 
Ме ЕФЕ Міем Неір 


8. Ба орет ю @ ~ 
Мате т СРО иѕаде 
че юсаоя (СЕМИ) 


Тедога 
Аоппіпд 
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Рис. 27.2. Откройте виртуальную машину и начните работать с ней 


Управление виртуальными машинами 


После установки одной или нескольких виртуальных машин на гипервизор можно 
управлять ими почти так же, как системой, установленной на физическом компью- 
тере. Можно делать следующее. 


© Просматривать систему из консоли. Дважды щелкните на запущенной вирту- 
альной машине в окне уігё-тапарег. Откроется окно консоли УМ, позволяющее 
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использовать ее так же, как и физическую консоль, для доступа к операционной 
системе компьютера. Вместо у1гЕ-тапавег для отображения консоли виртуаль- 
ной машины можно задействовать команду уігі -уіемег. Например, для вирту- 
альной машины с именем гһће18-01 введите уігі-уіемег гһе18-01. 


Выключить виртуальную машину. Щелкните правой кнопкой мыши на имени 
виртуальной машины и выберите пункт 5Ни Бомт (Завершить работу). Затем 
выберите либо пи Ромт (Завершить), чтобы корректно выключить ее, либо Еогсе 
ОЙ (Принудительно завершить), что по эффективности похоже на выдергивание 
вилки из розетки. Есть и вариант Вероої (Перезагрузка). 


Запустить виртуальную машину. Если виртуальная машина в данный момент 
не работает, щелкните правой кнопкой мыши на записи о ней и выберите Вип 
(Запустить), чтобы запустить ее. 


Удалить виртуальную машину. Если вы закончили использовать виртуальную 
машину, выберите пункт Раве (Удалить). Программа спросит, хотите ли вы 
также удалить хранилище. Снимите этот флажок, если нужно сохранить хра- 
нилище, связанное с виртуальной машиной. 


Теперь можете попробовать перенести виртуальную машину на другой гипер- 


визор. 


Перенос виртуальных машин 


Возможность переноса виртуальных машин между различными гипервизорами по- 
зволяет очень гибко управлять рабочими нагрузками компьютера. Вот некоторые 
из преимуществ. 


Улучшается производительность за счет переноса виртуальных машин с пере- 
груженных гипервизоров на те, у которых большие объем памяти и емкость 
процессора. 

Можно выполнять плановое техническое обслуживание гипервизора, а вирту- 
альные машины продолжат работать. 


Есть возможность переместить виртуальные машины с недостаточно активно 
используемых гипервизоров, чтобы их можно было отключить ДЛЯ ЭКОНОМИИ 
энергии до тех пор, пока они не понадобятся снова. 


Можно переместить виртуальные машины с сайта, если планируется закрытие 
центра обработки данных или ожидается, что по нему ударит ураган или слу- 
чится другая катастрофа. 


Реальный перенос, в частности, полезен, если вам нужно продолжать работу на 


виртуальных машинах, не отключая их. Ключом к тому, чтобы перенос виртуаль- 
ных машин в реальном времени сработал, является правильная настройка среды. 
Убедитесь, что на месте следующие детали соединения (имейте в виду, что эти 
функции похожи на соответствующие функции Кеа Нас Уігіџаіхайоп): 
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© совместное сетевое хранилище между гипервизорами; 


одни и те же сетевые интерфейсы, настроенные на каждом гипервизоре; 


® совместимые процессоры между гипервизорами (набор гипервизоров имеет 
точно такое же оборудование); 


® быстрое сетевое соединение между гипервизорами и хранилищем; 


® те же или аналогичные версии программного обеспечения виртуализации на 
гипервизорах (мы использовали на обоих Еейога 30). 


Если вся эта подготовка выполнена, сам процесс переноса потребует всего не- 
скольких действий и можно будет начать работать. 


Шаг 1. Идентифицировать другие гипервизоры 


Предположим, что окно программы Упиа[ Мас ше Мапарег все еще работает на 
одном из ваших гипервизоров. Перейдите в него и выполните следующие действия, 
чтобы подключиться к другому гипервизору. 


1. Подключитесь к гипервизору. Выберите Ее » Ааа Соппесіоп (Файл » Добавить 
соединение). Должно появиться окно Ада Соппесноп (Добавить соединение). 


2. Добавьте соединение. Установите флажок СоппесЕ їо Ветое Ноѕї (Подключиться 
к удаленному хосту), выберите З5Н в качестве метода подключения, примените 
имя суперпользователя и введите имя хоста другого гипервизора (например, 
һоѕ 1 .ехатр1е. сом). Когда вы нажмете кнопку СоппесЕ (Подключиться), нуж- 
но будет ввести пароль суперпользователя удаленного гипервизора и другую 
информацию. Обратите внимание на то, что может потребоваться установить 
пакет орепѕѕһћ-аѕкраѕѕ, чтобы получить запрос на ввод пароля. 


Запись о новом гипервизоре должна появиться в окне программы Уігіџа] 
МасЬше Мапавег. 


Шаг 2. Перенести запущенную виртуальную машину 
на другой гипервизор 


Прежде чем переносить виртуальную машину на другой гипервизор, может по- 
требоваться изменить правила брандмауэра. При наличии правил брандмауэра по 
умолчанию прямая миграция 1ібуіг+ завершится неудачно. Случайный ТСР-порт 
должен быть открыт, чтобы разрешить перенос. По умолчанию используется 49 152, 
но можно выбрать любой доступный незанятый порт. Туннельный перенос требует 
аутентификации по 55 Н-ключу. 

Открыв программу Уігќиа! Масһіпе Мапавег, щелкните правой кнопкой мыши 
на любой запущенной в данный момент виртуальной машине и выберите пункт 
Мідгаќе (Перенести). Откроется окно Мюгае (Перенос) виртуальной машины, как 
показано на рис. 27.3. 
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Рис. 27.3. Выберите, на какой гипервизор перенести виртуальную машину 


Выберите новый хост. В моем примере виртуальная машина сейчас работает 
на хосте, поэтому я хочу выбрать 1о$+1 в качестве нового хоста. Через некоторое 
время виртуальная машина появится на нем и можно будет скопировать образ 
памяти на другой хост. 

Если по какой-то причине перенос завершится неудачно (несовместимые про- 
цессоры или другие проблемы), вы всегда можете выключить виртуальную машину 
на одном хосте и запустить ее снова на другом. Для этого требуется только общее 
хранилище. На втором хосте просто запустите Сгеаќе а Меми Миа! Масћіпе \\Мтага, но 
выберите запуск существующего образа вместо установочного 180. 

Настройка гипервизора, которую я продемонстрировал, хорошо подходит для 
домашней рабочей станции или даже для малого бизнеса. Хотя в эту книгу не вхо- 
дит разработка целой платформы облачных вычислений, полезная информация 
о том, как использовать различные облачные платформы для запуска систем Глпих, 
представлена в следующей главе. 
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Резюме 


Система Глпих — это фундамент, на котором строится большинство современных 
облачных технологий. В этой главе описываются многие из основных компонентов 
построения облака на основе Глпих и других технологий с открытым исходным ко- 
дом. Затем рассказывается о некоторых из этих базовых технологий — об установке 
пары гипервизоров и запуске виртуальной машины. 


Упражнения 


Упражнения в этом разделе связаны с настройкой гипервизора (хост-компьютера 
КУМ) и применением его для запуска виртуальных машин. Если затрудняетесь 
с решением, воспользуйтесь ответами к упражнениям, приведенными в приложе- 
нии Б (хотя Глпах позволяет решать задачи разными способами). 

Хотя в рассмотренном в этой главе примере настройки гипервизоров задей- 
ствуются три физические машины, эти упражнения можно выполнять и на одной 
машине. 


1. Проверьте, может ли ваш компьютер поддерживать виртуализацию КУМ. 


2. Установите систему Глпих вместе с пакетами, необходимыми для использования 
ее в качестве хоста КУМ и запуска приложения Уігіџа! Мас те Мапавег. 


3. Убедитесь, что в системе запущены службы ѕһа и 1іруіг+а. 


4. Загрузите установочный 1850-образ Глпих, совместимый с вашим гипервизором, 
и скопируйте его в каталог по умолчанию, используемый программой Уігїіџа] 
Масһіпе Мапаег для хранения образов. 


Убедитесь, что сетевой мост по умолчанию (\1гЬг9) в данный момент активен. 
Установите виртуальную машину, применяя 150-образ, скопированный ранее. 


Убедитесь, что вы можете войти в виртуальную машину и работать с ней. 


омо ў 


Убедитесь, что ваша виртуальная машина может подключаться к Интернету 
или другой сети за пределами гипервизора. 


Остановите работу виртуальной машины. 
10. Запустите виртуальную машину вновь. 


27 


Развертывание 
приложений Шпих в облаке 


В этой главе 


и Создание облачных образов Ипих. 

и Развертывание облачного образа с помощью 
уігё-тапавег (1ібуіг+а). 

и Развертывание облачного образа в ОрепЅїаск. 

ш Развертывание облачного образа в Атахоп ЕС2. 


Для загрузки новой системы Ііпих вместо того, чтобы просто запускать стандартную 
программу установки с физического РУР”, вы можете получить образ пих и раз- 
вернуть его в облаке. Один из способов сделать это — взять общий образ Піпих (за- 
грузочный, но ненастроенный) и для его настройки задать параметры в соответствии 
со своими требованиями. Другой способ — перейти к облачному провайдеру, выбрать 
образ, щелкнуть на выбранных элементах, чтобы настроить его и запустить. 

Дело в том, что облачные вычисления предлагают новые способы запуска и ис- 
пользования систем [іпих. В главе 27 мы выполнили стандартную установку Піпих 
для создания виртуальной машины, работающей на гипервизоре Глпих. В этой главе 
я покажу, как задействовать облачные образы для запуска новой системы Глпих. 

Во-первых, я опишу, как применять службу с1оџа-іпі+ для объединения вруч- 
ную облачного образа Глпиах с информацией о конфигурации, чтобы позволить ему 
работать в различных средах. Далее расскажу, как аналогичный процесс выпол- 
няется в облаке ОрепЅѓаск или Атахоп Е1азис Сотрще СІоџа (ЕС2) с помощью 
простых в использовании облачных контроллеров, которые позволяют выбрать 
образ и настроить его для запуска пих СТоч4. 


Запуск Шпих в облаке 


Облачные платформы отлично подходят для быстрого и эффективного запуска 
новых виртуальных машин. Это возможно, потому что каждый раз, когда вам нужна 
операционная система, новая установка не требуется. 
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Публичные облака, такие как Атахоп ЕС2 (амѕ.атағоп.сот/ес2), предлагают 
варианты различных дистрибутивов Глпих. Вы выбираете подходящий вари- 
ант Глпих, например ОЪипќи, Кеа Наё Епќегргіѕе Глпах (КНЕГ.) или $08Е пих 
Ещегрт!зе Зегует (ЗГЕ5), и настраиваете его для конкретных целей. Например, 
существуют варианты систем, оптимизированные для обработки высокопроизво- 
дительных приложений или приложений с интенсивным использованием памяти. 

Содержимое облачной системы, как правило, носит общий характер. Ожидает- 
ся, что более детальную информацию для образа предоставит облачный пользова- 
тель или поставщик облачных служб, применяющий такую службу, как с1ои4-1п1х. 
Эта информация делится на две основные категории, теа-да+а и изег-дака. 


Ф пета-дата. К метаданным тмефа-да%а прилагается информация, необходимая 
для загрузки образа. Это данные, которые находятся вне содержимого образа 
и обычно управляются облачным провайдером. Некоторые из них появляются 
из-за того, что хранилище, память и вычислительная мощность берутся из пула 
ресурсов, а не из физической машины, на которой устанавливается система. 
Таким образом, теќа даа сообщает облачному провайдеру, сколько этих и, воз- 
можно, других ресурсов необходимо выделить на ранней стадии запуска системы. 


® изег-аата. Информация о пользовательских данных изег-дафа добавляется 
в операционную систему, существующую на образе. Это данные, которые 
предоставляет пользователь, работающий с виртуальной машиной. Они могут 
включать учетную запись пользователя и пароль, файлы конфигурации, ко- 
манды для запуска при первой загрузке, идентификаторы репозиториев про- 
граммного обеспечения и что-либо еще, что он хочет запустить или изменить 
в самой операционной системе. 


При запуске системы Г4пиах в облачной среде необходимо ввести данные тета- 
да+а и изег-да\а, установив флажки и заполнив формы из веб-облачного кон- 
троллера, например панели мониторинга Ореп${асК или Кеа Наё Уігіџа[іғхабіоп 
Мапазег. Эта информация не может быть идентифицирована как тефа-даха и иѕег- 
даќа при настройке системы через облачный контроллер. 

Облако, которое вы используете для запуска виртуальных машин Глпих, может 
быть публичным, частным или гибридным. Выбор типа облака зависит от ваших 
потребностей и бюджета. 


® Публичное облако. Атагоп ЕС2 и Соое Сошрще Епеше — это примеры об- 
лачных платформ, которые позволяют запускать и использовать виртуальные 
машины Глпах из веб-интерфейса. Вы платите за время работы системы в об- 
лаке. Объем памяти, хранилища и виртуальных процессоров, задействуемых 
для запуска службы, также учитывается в расходах. Преимущество публичных 
облаков заключается в том, что вам не нужно покупать и поддерживать соб- 
ственную облачную инфраструктуру. 


® Частное облако. С помощью частного облака вы создаете собственную вы- 
числительную инфраструктуру (гипервизоры, контроллеры, хранилище, се- 
тевую конфигурацию и т. д.). Создание частного облака означает увеличение 
первоначальных затрат на владение инфраструктурой и ее обслуживание. Но это 
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обеспечивает дополнительную безопасность и контроль над вашими вычисли- 
тельными ресурсами. Поскольку вы управляете инфраструктурой, то можете соз- 
давать образы, к которым клиенты имеют доступ в инфраструктуре Ореп5баск, 
и самостоятельно учитывать использование ими этой инфраструктуры. 


® Гибридное облако. Многие компании ищут гибридные облачные решения. 
Гибридное облако позволяет централизованно управлять несколькими облач- 
ными платформами. Например, Вей Наї СІоџЕогтѕ может развертывать вир- 
туальные машины и управлять ими на платформах виртуализации Ореп${аск, 
УМууаге убрБеге и Кеа Нас Етегризе, предоставляя различные типы рабочих 
нагрузок соответствующим средам. В периоды спроса СІоиаЕогтѕ также может 
направлять виртуальные машины для работы в облаках Ататоп ЕС2. Эти об- 
лачные среды реализуют различные способы подготовки и настройки вирту- 
альных машин. Однако функции, которые облака должны предоставлять для 
управления виртуальными машинами, аналогичны. Понимание этих функций 
может помочь при настройке системы Глпах для работы в облаке. 


Чтобы вы лучше поняли, как настраивать облачные системы Глпах, в следующих 
разделах я опишу, как работает служба с1оџа-іпі+ для настройки облачных систем. 
Затем помогу вам создать собственные файлы тета-дата и изег-дафа и применить 
их к облачной системе, чтобы информация могла использоваться при загрузке 
облачного образа. 


Создание образов Мпих для облаков 


Вспомните, что вы делали, когда устанавливали систему Піпих в главе 9 «Установка 
Тлпих». В процессе ручной установки вы задаете пароль суперпользователя, соз- 
даете обычную учетную запись пользователя и пароль, возможно, настраиваете 
сетевые интерфейсы и выполняете другие задачи. Эта информация стала посто- 
янной частью операционной системы, оставаясь неизменной при каждой загрузке 
системы. Когда вы начинаете с предварительно построенного облачного образа в ка- 
честве системы Глпих, можете задействовать службу с1ои4-1п1+, чтобы подготовить 
систему Глпих к запуску. Служба с1оџа-іпі (1аипспраа.пеУ/аоид-т®) настраивает 
общий инстанс виртуальной машины для работы так, как нужно, не требуя уста- 
новки. В следующем разделе описаны способы применения службы с1оиа-1п1*. 


Настройка и запуск облачной службы іпіё сіоџа 


Я покажу на примере, как создавать данные вручную (данные могут быть объ- 
единены с загрузочным облачным образом Піпих, чтобы при загрузке этот образ 
был настроен на основе ваших данных). Объединение данных с образом во время 
выполнения позволяет изменять данные каждый раз перед запуском образа вместо 
того, чтобы постоянно устанавливать их в образ. 


Глава 28. Развертывание приложений Ипих в облаке 797 


Предлагаю выполнить действия, описанные далее, на одном из гипервизоров, 
настроенных в главе 27 «Облачные вычисления с помощью системы [іпих». 
Это позволяет не только создавать настраиваемые данные для облачного образа 
Тіпих, но и запускать образ как виртуальную машину на этом гипервизоре. 

Чтобы добавить данные и запустить существующий облачный образ, требуется 
иметь сам облачный образ и создать файлы данных и новый образ, объединяющий 
эти элементы. Процедура должна быть очень простой для загрузки облачного изобра- 
жения. Позже я расскажу, как добавить дополнительные функции в эти файлы дан- 
ных. Чтобы настроить и запустить облачный образ, выполните следующие действия. 


1. Создайте файл сіоџ-іпі теа-даба. Создайте файл с именем теёа-а+а для 
хранения данных, идентифицирующих информацию об инстансе облака извне. 
Например, вы можете добавить имя для идентификации инстанса (іпѕапсе-іа), 
имя хоста (1оса1-һоѕ&пате) и другую информацию. Чтобы первая попытка была 
попроще, я назначаю только два поля (можете дать им любые имена): 


іпѕ&апсе-іа: Еедогам$01 
1оса1-һоѕ&пате: +едога01 


2. Создайте файл сІоий-іпі иѕег-ааѓа. Создайте файл с именем изег-дажа для хра- 
нения данных, которые настраиваются внутри операционной системы на самом 
образе. В качестве простого примера я установил пароль для пользователя по 
умолчанию (+едога) в значение с1оцараз$ и убедился, что срок действия пароля 
с1оџа-іпії не истечет: 

#с1оџа-сопҒіє 


раѕѕмога: с1оийраѕѕ 
сһраѕѕма: {ехріге: Ға15е} 


3. Объедините данные в отдельный образ. Используя файлы теќа-да+а и изег- 
Дата в текущем каталоге, создайте [ЗО-образ, содержащий эти данные. Позже 
мы представим этот образ в виде СО с образом Піпих, чтобы служба с1оиа-1п1* 
знала, как настроить образ Глпих. (Сначала установите пакеты вепіѕоітаве 
и с1оџа-іпі+, если еще этого не сделали. Пакет с1оиӣ-іпії не нужен на гипер- 
визоре.) 

# ушт іпѕ+а11 репіѕоітаре с1оиӣ-іпії 


# репіѕоітаре -оиїриї Ғейога31-аа+а.іѕо -\0114 с1Аафа \ 
-јоїіеі-1опв -госк иѕег-Ӣа+а мефа-Чафа 


4. Загрузите базовый образ облака. Облачные образы для систем (Ъипёи, Еейога 
и КНЕТ. настроены для работы с с1оџй-іпіє. Загрузите официальный облачный 
образ Еейога (образы для других дистрибутивов описаны далее) и выполните 
следующие действия: 


= откройте браузер и перейдите на страницу деейога.ого/еп/сіоиа/аомпіоаа; 


" нажмите кнопку Оомпіоаа у образа ОрепЅѓасК, чтобы загрузить образ дсом2, 
который можно использовать в среде ОрепЅѓаск. Имя образа — это что-то 
вроде Еедога-С1оиа-Вазе-31-1.9.х86_64.4сом2. 
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5. Сделайте снимок образа. Вероятно, вам придется выполнить это действие не- 
сколько раз, прежде чем вы загрузите нужный образ. Поэтому вместо использо- 
вания загруженного образа напрямую сделайте его снимок. Чтобы отслеживать 
свои версии, я добавляю 01 к новому имени снимка: 

# дети-1тё сгеафе -+ асом2 \ 
-о Баскіпр_Ғі1е=Ғейога-С1оиџа-Ваѕе-31-1.9.х86 64.дсом2 \ 
Ғедога-С1оиа-Ваѕе-01. дсом2 


6. Скопируйте файлы в каталог образов. Рекомендую копировать образы в ката- 
лог /маг/116/11буігё/ітареѕ/ при использовании их на гипервизоре (служба 
11буіг+а). Например, чтобы скопировать облачный образ и образ данных в этот 
каталог, введите следующее: 

# ср Ғедога-С1оиџа-Ваѕе-31-1.9.х86 64.д4сом2 \ 
Ғедога-С1оиа-Ваѕе-01.дсом2 \ 


федога31-дафа.1$0 \ 
/маг/116/11руігі/ітареѕ/ 


7. Запустите облачную систему. Переместив файлы на место, выполните следу- 
ющие команды, чтобы запустить экземпляр облачного образа: 
# са /маг/116/11іруігі/ітавеѕ 
# у1гЕ-1154а11 --ітрог --пате Ғейога31-01 --гат 4096 --мсриѕ 2 \ 
--41$5К раһ=Еейога-С1оиа-Ваѕе-01. дсом2 , Ғогтаё=дсом2 ,биѕ=уігііо \ 


--91$К раһ=Ғейога21-аа+а.іѕо, йемісе=сӣгот \ 
--пеёмогк пеёмогк=ӣӢеғаи1+ & 


Приведенный пример уігї-іпѕёа11 показывает, что виртуальной машине на- 
значены 4 Гбайт оперативной памяти (- -гат 4096) и два виртуальных процессора 
(- -усриѕ 2). Значения КАМ и УСРО в вашей системе могут отличаться в зависи- 
мости от ресурсов вашего компьютера. 

Сейчас на вашем гипервизоре работает виртуальная машина Ғейогаз1-01. Когда 
она загрузится, должно открыться окно консоли, позволяющее войти в новую об- 
лачную виртуальную машину. 


Исследование облачной системы 


Чтобы исследовать созданный облачный образ, можете открыть запущенный эк- 
земпляр и посмотреть, что находится внутри него. Один из способов сделать это, 
если он еще не открыт, — открыть виртуальную машину командой мігі -уіемег: 


# уігЕ-уіемег Ғейога31-01 


В появившемся окне консоли примените данные, которые мы добавили в образ, 
чтобы войти в систему. Задействуйте Ғейога в качестве пользователя и с1оџийраѕѕ 
в качестве пароля для входа в систему. Пользователь +едога имеет привилегии ѕиао, 
поэтому вы можете применять эту учетную запись для исследования системы, вво- 
дя команды. Так вы увидите, откуда пользовательские данные были скопированы 
в этот экземпляр системы: 
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$ ѕидо саї /уаг/116/с1оца/1п$апсез/Еедогам$01/изег-дафа. хе 
#с1оиа-сопҒіє 

раѕѕмога: с1оцара$$ 

сһраѕѕма: {ехр1ге: Ға1ѕе} 


Базовая настройка облака выполняется в файле /еёс/с1оиӣ/с1оџа. с+в. В приме- 
ре видно, что учетная запись суперпользователя по умолчанию отключена. В ниж- 
ней части файла вы видите, что пользователь с именем +едога — это пользователь 
по умолчанию, он имеет права $чао, и не требует вводить пароль: 


$ ѕидо саї /ефс/с1оиа/с1оца. св 
иѕегѕ: 

— аеҒаџ1+ 

аіѕаб1е гоо: 1 


ѕуѕ+ет іпғо: 
аеҒаи1Є иѕег: 
пате: Федога@ 
1оск_раѕма: +гие 
5есо$: Еедога С1оиа Цзег 
вгоирѕ: [мһее1, аат, ѕуѕ&ета-јоигпа1] 
зидо: ["АС_= (АС) МОРАЗ$МО: АЕ" ] 
ѕһе11: /біп/баѕһ 
аіѕіго: Ғейога 
раїћѕ: 
с1оиа аіг: /\аг/116/с1оиа 
№етр1аеѕ аіг: /еёс/с1оиа/+етр1а+еѕ 
55һ ѕуспате: ѕ5һа 


# уім: ѕупах=уат1 


В файле с1оиџӣ.с+е вы можете увидеть и другую информацию. Например, 
какие модули с1оиа іпії тоӣи1е запускаются во время инициализации (те, ко- 
торые устанавливают имя хоста или запускают ведение журнала гѕуѕ1ов). 
Вы увидите модули с1оџиа сопҒів_ тойџ1еѕ, которые устанавливают локальный 
и часовой пояс и запускают дополнительные инструменты настройки, такие как 
Сре и Рирре. 

Поскольку репозитории уит подключены, вы можете установить любые па- 
кеты, доступные из репозиториев ЕеЧота, при условии, что у вас есть доступное 
сетевое подключение (ОНСР должен был назначить адреса виртуальной машине 
по умолчанию). 


Копирование облачного образа 


Если вас устраивает созданный облачный образ, сохраните его копию для после- 
дующего запуска, сделав клон из двух образов — облака и образа данных. Чтобы 
создать клон запущенного облачного экземпляра с помощью утилиты \у1г{-тапавег, 
выполните следующие действия. 
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1. Запустите утилиту уш-тапабег. В хост-системе, на которой запущена вирту- 
альная машина, выполните команду уігё -тапавег или запустите Упиаа[ Масһіпе 
Мапабег с экрана Асіуїйеѕ (Приложения) на рабочем столе. 


2. Приостановите виртуальную машину. Щелкните правой кнопкой мыши на 
обозначении образа виртуальной машины в окне уігё -тапавег и выберите пункт 
Раизе (Приостановить). Виртуальная машина станет неактивной. 


3. Скопируйте виртуальную машину. Снова щелкните правой кнопкой мыши на 
имени образа виртуальной машины и выберите пункт Сіопе (Клонировать). По- 
явится окно Сюпе Миа! Масћіпе (Клонировать виртуальную машину) (рис. 28.1). 


4. Выберите настройки для копии. Для облачного образа и образа данных можно 
выбрать либо создание новых копий, либо использование их совместно с суще- 
ствующей виртуальной машиной. Далее выберите пункт Сіопе (Клонировать). 
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Рис. 28.1. Клонирование позволяет сохранить постоянную копию облачного образа 


Теперь можно запускать и останавливать клонированный облачный образ, а так- 
же управлять им по своему усмотрению из окна Уігџа! Масһіпе Мапавет или с по- 
мощью команды уігѕћ. Большое преимущество создания клонов заключается в том, 
что вы можете вносить в них любые изменения, не меняя оригинал. Просто удалите 
клон, когда закончите, или быстро создайте новый, если он вам понадобится. 
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Расширение настроек службы сіоиа-іпіё 


Вы можете добавить в свои файлы те+а-да+а и изег-4афа гораздо больше инфор- 
мации для настройки облачных образов. Примеры настроек с1ои9-4п14 можно 
найти на странице СІоџі-1піё (сіоиаіпі.геааћейосѕ.ого/еп/аѓеѕ/орісѕ/ехатріеѕ.ћіті). 
В следующих разделах приведены примеры настроек, которые можно добавить 
в файлы иѕег-да+а. 


ПРИМЕЧАНИЕ 


Файлы изег-дака и теќа-аќа имеют формат уаті. Этот формат использует отступы и хорошо известные раздели- 
тели. Элементам в списке предшествуют дефис и пробел. Ключи и значения разделяются двоеточием и пробелом. 
Если вы не знакомы с форматом уаті, рекомендую изучить его на сайте проекта Уат! (9іїћир.сот/уаті). 


Добавление $$1-ключей с помощью службы сіоџа-іпі 


Вместо того чтобы использовать пароли для входа в облачные образы, вы можете 
задействовать аутентификацию на основе ключей вместе с командой $51 для вхо- 
да в систему по сети. Такой способ обычно применяют облачные провайдеры для 
предоставления пользователю доступа к облачным образам. 

Если вы уже сгенерировали открытый и закрытый 55һ-ключи для учетной запи- 
си пользователя, с помощью которой планируете создать облачный образ, можете 
задействовать их для аутентификации. Если сгенерировали пару ключей КЅА, то 
по умолчанию открытый ключ находится в файле 14_гза.риб: 


# са ФНОМЕ/.55һ/іа гѕа.рир 

55һ-гѕа ААААВЗ№Мас1ус2ЕААААРАОАВАААВАОРМ= адбһаруһием217г10ијхВ/ггЈү4 
о2ромІмгесу#бт8мХ1Нттда9с71+п462Р24/2В8635157%К24утОсмЕоМекһь2НВАуүедх 
КҮООЈОВ2Е2Мг6дМКтгјОВхбурхь2+МмАрМС 

меёУ5ВСУо№] гМ43С\УибпѕОхһЕ+7һуба+сјуоѕ0у+0979Ү530сЕугобр№2геб5Ј8ЕМРМ 
ВЕМИи 268725 ПОМСТЕ1Т1АпроруО\/6Т№п/5Тх077м5У\/6К+0309$7и4о00Суй8тРМС1КТ 
ОН+/ди/7п1Кхо9х+ес0+$11+2ТмМ№6901+МрехэРЕг+Вм] Кисгк58Сбиомб5е\М$ впии7б6 
МОКТ гоо+@ћоѕ+2.ехатр1е. сот 


Открытый ключ из этого файла обычно копируется в файл ФНОМЕ/.55һ/ 
аи{Пог17е4_кеу$ для пользователя удаленной системы, в которую нужно войти. 
Можно добавить ключ к этому файлу на облачном образе, применяя записи в файле 
иѕег-да+а, который выглядит следующим образом: 


иѕегѕ: 
= аеҒаџ1+ 
— пате: мѕті+һ 
5есо$: Мі11іат В. Ѕті+һ 
рг1тагу-вгоир: мѕті+һ 
зиао: АГ= (АШ) МОРАЗЗИО : АЕ 
1оск-раѕѕма: +гие 
55һ-аиһогіғеа-Кеуѕ : 
= 55һ-гѕа ААААВЗ№Мас1ус2ЕААААРАОАВАААВАОРМ= адбћаруһием217г10иј 
хВ/ггЈуДо2ролІМгесу#6бт8мХ1Нттаа9с716п262Р24/ 
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2В803515 7\К2МутОсмЕомекнь7НВАу\еахКУО0]иВ2Е2Мг6аМКтг-] ОВхбурхЬ7+\/ 
мАОМСмегУ5ВСУом г№436МибпѕОхҺЕ+#7һуба+сјуоѕ0у0979Ү530сЕугобр№ 
геб58ЕМРМКЕМИМ 268725 ПОМСТЕ1Т1АНрор\О\МЬТ№п/ 
$Тх077м5У\6К+09$2и4о00Суй8тРМС1КТОН/аи/ 
2п1кхд9х+ес0+501+21л№6901#№рехЈРЕг+ВијКмсгк58Сбиомб5ећ№5 
впии76МОКТ гоо+@ћоѕ+2. ехатр1е. сот 


Из примера видно, что мѕті+ћ — это пользователь по умолчанию. Запись весоѕ 
обычно является полным именем пользователя, применяемым в пятом поле файла 
/еєс/раѕѕма. Пароль для этого пользователя заблокирован. Но, поскольку запись 
$5Н-гза из моей учетной записи суперпользователя на ћоѕ&2.ехатр1е. сот предо- 
ставляет ѕ5һ-аиһогіғеа-кеуѕ для пользователя, я могу войти в облачный образ 
как пользователь мѕті&ћ, применив ключи $51 без ввода пароля (при условии, что 
мой закрытый ключ связан с этим открытым ключом). 


Добавление программного обеспечения 
с помощью службы сіоиа-іпіё 


Вы не ограничены программным обеспечением, которое имеется в вашем облачном 
образе. В файле пользовательских данных вы можете определить репозитории Ү0М 
(в Еедога и ВНЕГ.) или ар (в ОБита или ОеЫап), а затем выделить любые пакеты, 
которые хотите установить при запуске облачного образа. 

В следующем примере показано, как могут выглядеть записи в файле иѕег- ааа 
при добавлении репозитория УМ (для систем Еейога или ВНЕГ.) в облачный образ 
и последующей установке пакетов из этого или любого другого подключенного 
репозитория: 
туомпгеро: 

Базеиг1: һё+р: //тугеро .ехатр1е . сот/риб /тугеро/ 
епаб1еа: {гие 
вресһеск: гие 
врекеу: +11е: // /еёс/ркі/грт-ере/КРМ-СРС-КЕҮ-МҮКЕРО 
пате: Му регзопа1 ѕоҒ&маге героѕі+огу 
раскареѕ: 

- птар 

- мусоо1ста 

- [1ібтуѕ+и+#, 3.10.1-2.#с21.поагсһ] 


Здесь новый репозиторий уит создается в файле /ес/уит. героѕ . ї/туомпгеро. перо. 
Для проверки правильности установленных пакетов используется служба врекеу 
и включается проверка СРС. После этого устанавливаются пакет птар (который 
находится в стандартном уит-репозитории Еейога), затем пакет тусоо1ста (из моего 
частного репозитория) и конкретная версия пакета 116туи++. 

Настройка репозиториев программного обеспечения ар? для ОЪипёи выполня- 
ется немного иначе. Отказоустойчивые первичные и защитные зеркала пакетов ар& 
настраиваются по умолчанию (в файле с1оџа. с+в на образе) вместе с параметрами, 
позволяющими образу при запуске в облаке Атахоп ЕС2 искать пакеты в ближай- 
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шем окружении. Чтобы добавить дополнительные репозитории, записи в файле 
изег-дафа можно сделать такими: 


арі тіггог: Ир: //иѕ.агсһіме.ирип+ёи. сот/ибипи/ 
арі тіггог_ѕеагсһ: 

- Һер: //туомптіггог.ехатр1е. сот 

- һер: //агсһіме.ибип+и. сот 
раскареѕ: 

- птар 

- мусоо1ста 

- [116тузеи++, 3.16.0-25] 


Строка туоиптіггог. ехатр1е . сот указывает утилите ар* использовать собствен- 
ный частный репозиторий ар* для поиска пакетов. Обратите внимание на то, что 
пакеты, которые вы хотите установить, вводятся в основном в том же формате, 
что и в ЕеЧога, хотя конкретная информация о версии (если она есть) в некоторых 
случаях может выглядеть иначе. 

Вы можете добавить множество других настроек в свои файлы изег-дата и теќа- 
Дафа. Обратитесь к странице Сюч4-шй Соц Сопйз Ехатар[ез (сіоџаіпі.геадћеаосѕ.ого/ 
еп/ Іаїеѕі/орісѕ/ехатріеѕ.һті) за подробностями. 


Использование службы сіоиа-іпі 
в корпоративных вычислениях 


До сих пор описание службы с1ои4-1п1 в этой главе было сосредоточено на созда- 
нии облачного образа, ручном добавлении данных конфигурации и временном за- 
пуске его в качестве виртуальной машины на локальном гипервизоре. Этот подход 
полезен, если вы хотите понять, как работает с1оиџа-іпі+ и какие есть возможности 
для настройки облачных образов в соответствии с вашими нуждами. Однако этот 
подход плохо масштабируется, если вы хотите управлять крупными системами 
виртуальных машин. 

Служба с1оиа-іпі+ поддерживает концепцию источников данных. Поместив 
данные файлов изег-дафа и те+а-а+а в источник данных, не нужно вводить эту 
информацию вручную в облачный образ, как мы делали ранее в этой главе. Вместо 
этого, когда служба с1оиа-іпіє начинает работать в образе, она знает, что нужно 
искать источники данных не только в локальной системе, но и за ее пределами. 

Для облаков Атахоп ЕС2 с1оџӣ-іпіє запрашивает определенный ІР-адрес 
(ПЕЁр://169.254.169.254/) данных. Например, он может проверить Ир: // 
169.254.169.254/2009-04-04/тефа-Чафа/ для поиска файлов тефа-Чафа и Пр: // 
169.254.169.254/2009-04-04/изег-дафа/ для поиска файлов изег-да*а. Это по- 
зволяет хранить данные конфигурации и получать к ним доступ из основного 
расположения. 

Что касается того, что может содержаться в файлах те+а-да+а и изег-даха, то 
для развертывания ваших облачных образов можно разработать гораздо более 
сложные схемы конфигурации. Служба с1ооа-іпії поддерживает инструмен- 
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ты настройки, такие как Риррей (рирреЧаБ$.сот/рирре/рирре!-ореп-зоигсе) и Сһеѓ 
(ммм. сһеғ.іо/сһеғ/). Они позволяют применять сценарии конфигураций к вашим 
облачным образам, даже заменяя компоненты или перезапуская службы по мере 
необходимости, чтобы вернуть систему в желаемое состояние. 

Однако на данный момент моя задача не в том, чтобы сделать из вас полно- 
ценных облачных администраторов (несколько сотен страниц назад вы могли бы 
быть и новичком в Глпиах). Я лишь хочу, чтобы вы поняли, с чем будете иметь дело, 
если в итоге окажетесь в облачном центре обработки данных. Потому что многие 
считают, что в не слишком отдаленном будущем большинством центров обработки 
данных станут управлять как облачными инфраструктурами. 

В этой главе мы рассматривали внутреннюю часть настройки Глпих для облач- 
ных вычислений. Вернемся назад и посмотрим, как можно использовать для запу- 
ска собственных виртуальных машин две самые популярные облачные платформы 
на базе Глпих, ОрепЅќаск и Атахоп ЕС2. 


Развертывание облачных образов 
с помощью Орепбіаск 


Технология Ореп5Ѕїаск обеспечивает постоянно развивающуюся платформу для 
управления физической инфраструктурой облачных вычислений, а также вирту- 
альными системами, которые работают на ней. ОрепЅѓќаск позволяет развернуть 
собственное частное облако или сделать его публичным. 

Вместо того чтобы создавать собственное облако ОрепЅѓаскК, я покажу, как 
можно использовать ОрепЅѓасК для развертывания виртуальных машин с панели 
мониторинга ОрепЅѓаск. Если хотите сделать это самостоятельно, задействуйте 
Ореп$асК одним из доступных способов. 


® Дистрибутивы Глпах. Дистрибутивы Еейога, ОБапеи и Сет О$ имеют бес- 
платные версии Ореп${асК, которые можно развернуть самостоятельно. Кеа 
На Ещегризе Глпиах предлагает версию Ореп5{асК, доступную по подписке, ее 
довольно сложно настроить. Часть универсальных настроек ОрепЅѓаск может 
работать на одной машине, но я думаю, что будет лучше, если вы начнете с трех 
физических машин — одного узла контроллера и двух гипервизоров. 


ө Публичные облака Ореп${асК. Можно использовать общедоступные облака 
ОрепЅ аск, которые различаются по цене. Список общедоступных облаков 
ОрепЅѓасКк имеется на сайте проекта ОрепЅіаск млмм.ореп$аск.огд/такерасе/ 
рибііс-сІоидѕ. 


Для начала я хочу помочь вам запустить систему Гіпих в облаке, когда нет воз- 
можности выполнять определенные действия на собственных компьютерах. И по- 
кажу, как веб-интерфейс облачного провайдера (например, панель мониторинга 
ОрепЅѓаск) может значительно упростить конфигурацию облака, которую мы 
выполняли вручную с помощью службы с1оча-1п1+ ранее в этой главе. 
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Панель мониторинга Орепбіаск 


Необходимо начать с установки ОрепЅѓасКк. Администратор среды ОрепЅѓасК соз- 
дал для меня проект спевиѕ-+еѕї-ргојесі и учетную запись пользователя (спериз), 
которая позволяет получить доступ к этому проекту. 


Вот что я планирую сделать: 


настроить сеть. Точно так же, как настроил бы маршрутизатор и физически 
подключил свои компьютеры к нему, я создам виртуальную сеть. Она будет 
включать в себя набор адресов, которые распространяются на мои виртуальные 
машины через службу ОНСР; 


настроить виртуальные машины. Я пройду через процесс настройки и развер- 
тывания нескольких виртуальных машин. 


Версия ОрепЅѓасК, используемая для этого примера, — это Кеа На ОрепЅѓаск 


РІайогт (КНЕТ -ОЅР). Она похожа на любую другую среду ОрепЅѓаск. В следу- 
ющем разделе показано, как начать настройку сети. 


Настройка виртуальной сети ОрепЅіаск 


Чтобы настроить виртуальную сеть ОрепЅѓасК, выполните следующие действия. 


1. 


Зайдите в Ореп${асК. Применив имя пользователя и пароль, назначенные вам 
администратором Ореп{асК, войдите на панель мониторинга ОрепЅѓасКк из 
своего браузера. Вы должны увидеть экран Омегмем (Обзор), похожий на по- 
казанный на рис. 28.2. 


Создайте сеть. Чтобы создать сеть, в левом столбце экрана Омегмем (Обзор) вы- 
берите пункт Мебмогк$ (Сети). На появившемся экране М№ебмогк$ (Сети) создайте 
новую сеть следующим образом (примеры, которые я использовал, приведены 
в скобках). 


= Нажмите кнопку Сгеа{е М№ебмогк (Создать сеть). 
= На вкладке Мемогк (Сеть) введите сетевое имя (тупе\). 


= На вкладке Ѕибпеї (Подсеть) введите имя подсети (туѕиье1), сетевой адрес 
(192.168.100.0/24), версию ІР (ТРу4) и ІР-адрес шлюза (192.168.100.). 
Оставьте поле ЮіѕаЫе ба{емау (Запретить шлюз) пустым. 


= Навкладке бирпе{ Реѓаі (Детали подсети) введите диапазон ІР-адресов, раз- 
деленных запятыми, в поле Аосайоп Рос! (Выделение пулов). В своем примере 
я ввел адрес 192.168.100.10, 192.168.100. 50, чтобы раздать клиентам диа- 
пазон ІР-адресов от 192.168.100.10 до 192.168.100.50. Примите предложение 
сервера имен от администратора вашего облака ОрепЅѓасКк или используйте 
общедоступный О№$-сервер (например, Сооз[е 8.8.8.8 или 8.8.4.4). 


= Нажмите кнопку Сгеаќе (Создать), чтобы создать новую сеть. Она появится 
на экране Мемюогк$ (Сети). 
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О\мегле\м/ 


Ити Ѕиттагу 


Зеес{ а регіоа ої їіте їо диегу Из иѕаде: 


Рот: | 2015-01-01 То: 2015-01-19 Зуьтй Тһесме зһоџіа Бе а ҮҮҮҮ-тт-ба їоста! 
Асіїме Іпзіапсоз: - АсНуо ВАМ: - Тћіз Рогіой' УСРО-Ноигз: 0.00 Тћіз Регіоа'ѕ @В-Ноигз: 0.00 
Оѕаве Ѕиттагу 4 Оонтіоа СЗУ Ѕиттау 


11з1апсе Мате УСРИз Ок ВАМ Оріте 


Обріауіго 0 йет 


1_099еа іп аз: спедиз Ѕешгд= нер 357 Ом 


Іпзіапсеѕ УСРИз ВАМ ҒІоайїпд |Рз Ѕесипіќу Огоирз 
Оѕей 0 0110 Озеа 0 ої 20 зо 0 ої 50.0 СВ Озоа 0 ої 50 вод 1 0! 10 


№ Нетз (о @зрау. 


Рис. 28.2. Войдите на панель мониторинга Ореп5{аск 


3. Создайте маршрутизатор. Чтобы виртуальные машины могли получить доступ 
к Интернету, необходимо определить маршрутизатор, подключенный к вашей 
частной сети на одном интерфейсе, и сеть, которая может выйти в общедоступ- 
ный Интернет на другом. Вот как это сделать. 


В левой колонке выберите раздел Вощег (Маршрутизаторы). 

Нажмите кнопку Сгеаќе Вошег (Создать маршрутизатор). 

Введите имя маршрутизатора (тугоиќегё1) и нажмите кнопку Сгеайе Коџќег 
(Создать маршрутизатор). 

Нажмите кнопку 5еї Саѓемау (Установить шлюз). 

На экране Ѕеї баемау (Установить шлюз) щелкните на поле Ежегпа! Ме\могк 
(Внешняя сеть) и выберите одну из доступных внешних сетей. Оставьте поля 
Воиѓќег Мате (Название маршрутизатора) и Вошег Ір (10 маршрутизатора) 


такими, какие они есть. Нажмите кнопку её баемау (Установить шлюз). 
Новый маршрутизатор появится на экране Вощегз (Маршрутизаторы). 


4. Подключите свою сеть к внешнему маршрутизатору. На экране Кощег$ (Марш- 
рутизаторы) выберите имя маршрутизатора, который вы только что создали 
(тугоиег1). 


На экране Вошег Реай$ (Маршрутизатор) нажмите кнопку Ада Іпќегѓасе (До- 
бавить интерфейс). 


На экране Аай Іпќегѓасе (Добавить интерфейс) щелкните на поле бибпе (Под- 
сеть) и выберите созданную ранее подсеть (тупе :192.168.100.0/24 туѕире1). 
Не нужно менять имя маршрутизатора или его ТО. 


Нажмите кнопку Ада Іпќегѓасе (Добавить интерфейс). 
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5. Просмотрите сетевую топологию. Щелкните кнопкой мыши на разделе М№ебмок 
Тороюду (Сетевая топология) в левом столбце. Затем наведите указатель мыши 
на имя маршрутизатора (тугои*е01). На рис. 28.3 показан пример того, как мо- 
жет выглядеть ваша сетевая конфигурация. 


М емогК Торо[осу оддед т аз: спедиѕ Зе пд$ 
Эта! М опта! аџпоћ Іпзіапсе Стеаіе Мећмогк 
а О 
| тугоџќѓег01 х 


10 5511ее62-861-4сс4-а617-4860258ојаі8 
ЗТАТУ$ Ф АСТІМЕ 


Іліепасеѕ 
Оссіс016-аЬ0... 192.168.100.1 гоџшіег іпіеїасе АСТІМЕ 
Таке5177653а... по іпіо по іпіо 


» Меми гощег деїаіїѕ 


+с/о'ототот 
ъ2/0'001'891'261 


Рис. 28.3. Сетевая топология на панели мониторинга Орепбїаск 


При наличии сети вы можете создавать ключи для доступа к виртуальным 
машинам в Ореп$ЅќаскК. 


Настройка ключей для удаленного доступа 


Обычный способ настройки доступа к виртуальным машинам в облачной среде — 
создание пары «открытый /закрытый ключ», которая обеспечивает безопасный 
доступ к виртуальным машинам с помощью службы ѕѕћ и связанных с ней инстру- 
ментов из настольной системы. Закрытый ключ хранится в домашнем каталоге 
пользователя рабочего стола, а открытый ключ вводится в виртуальную машину, 
чтобы вы могли удаленно войти в нее (через службу ѕѕћһ) без ввода пароля. Вот как 
можно настроить ключи. 


1. Перейдите на вкладку Ассеѕѕ & Ѕесигіу (Доступ и безопасность). В левой 
колонке выберите Ассеѕѕ & Ѕесигїу (Доступ и безопасность). 
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2. Создайте пару ключей. Если у вас уже есть пара ключей, можете перейти к сле- 
дующему шагу. Если нет, выберите вкладку Кеураігѕ (Ключевая пара) и нажмите 
кнопку Сгеае Кеураіг (Создать ключевую пару). Когда появится окно Сгеаќе Кеураіг 
(Создать ключевую пару), выполните следующие действия. 


Введите название ключевой пары (тус1оийкеу) и нажмите кнопку Сгеаќе 
Кеураіг (Создать ключевую пару). Появится всплывающее окно с вопросом, 
хотите вы открыть или сохранить файл *. рет. 


Выберите вариант Ѕаме Ее (Сохранить файл) и нажмите кнопку ОК. Сохра- 
ните файл в каталоге ѕ5ћ своего домашнего каталога. 


Теперь можете развертывать образ ОрепЅѓаск (облачную виртуальную ма- 
шину). 


Запуск виртуальной машины в Ореп${аск 


Чтобы начать запуск нового инстанса облачной виртуальной машины, перейдите 
в левый столбец и выберите раздел 1п5{апсез (Инстансы). Затем нажмите кнопку 
аипсћ іпѕќапсе (Запустить инстанс). Появится окно Гаипсћ іпѕќапсе (Запустить ин- 
станс). Чтобы ввести информацию, необходимую для запуска инстанса, выполните 
следующие действия. 


1. Выберите вкладку Оеќаіїѕ (Подробности). На ней измените следующие пара- 
метры. 


АуайаЫу 7опе (Зона доступности). Зона доступности состоит из группы вы- 
числительных узлов. Отдельные зоны иногда создаются для идентификации 
группы компьютеров, которые физически находятся вместе (например, на 
одной стойке) или выполняют одинаковые аппаратные функции (чтобы их 
можно было использовать для одних и тех же типов приложений). Выберите 
из списка одну из зон. 


Іпѕіапсе Мате (Имя инстанса). Дайте инстансу любое понятное имя. 


Науог (Тип инстанса). Выбирая тип, вы выделяете набор ресурсов инстансу 
виртуальной машины. Ресурсы включают в себя количество виртуальных 
ядер процессора, объем доступной памяти, выделенное дисковое простран- 
ство и доступное эфемерное дисковое пространство. (Эфемерное простран- 
ство — это пространство, доступное с локального диска во время работы 
инстанса, но не сохраняемое при его завершении.) Типы по умолчанию — это 
т1.іпу, т1. зта11, т1.педіит, т1.1агре и т1.х1агве. Другие типы добавляет 
администратор облака. 


Іпѕќапсе Соипё (Количество). По умолчанию это значение равно 1, что оз- 
начает запуск одного инстанса. Если нужно, измените его, чтобы запустить 
больше инстансов. 


Іпѕїіапсе Воої Ѕошсе (Выберите источник загрузки). Инстанс может быть за- 
гружен из образа, снимка, с тома, из образа, включающего новый том, или 
снимка тома, включающего новый том. 
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= Ітаде Мате (Имя образа). Выберите образ, который хотите запустить. Названия 
обычно включают имена операционных систем, которые вы загружаете. 


= Оемсе зе (Размер устройства) и Оемісе Мате (Имя устройства) (не обязатель- 
но). Если выбрано включение нового тома при выборе источника загрузки 
инстанса, то необходимо задать размер (в гигабайтах) и имя устройства 
для тома в этих полях. Если выбрать уда в качестве имени устройства (для 
первого диска на виртуальной машине), то само это устройство будет иметь 
значение /аеу/уда. 


2. Выберите вкладку Ассеѕѕ & Ѕесигіѓу (Доступ и безопасность). Перейдите 
на вкладку Ассеѕѕ & бесигйу (Доступ и безопасность) и выберите пару ключей, 
созданную ранее. 


3. Выберите вкладку М№ебуогКкіпе (Сеть). Откройте вкладку МебмогКта (Сеть). 
Из списка доступных сетей выберите нужную и с помощью мыши перетащите 
ее в поле Ѕеіесіеа М№еђуогкѕ (Выбранные сети). 


4. Задайте дополнительные настройки. Вы можете добавить команды и скрипты, 
которые настраивают систему после загрузки. Здесь можно указать информа- 
цию, которая добавлена в файлы иѕег-да+а, описанные в разделах, посвященных 
службе с1оџиӣ-іпі+, ранее в этой главе. 


Нажмите кнопку Гаџпсћ (Запустить), чтобы включить виртуальную машину. 
Когда она запущена, можете войти в эту систему, для чего выберите инстанс и перей- 
дите на вкладку Сопзое (Консоль). В окне Сопзое (Консоль) виртуальной машины 
должно появиться приглашение войти в систему. Если вы хотите получить доступ 
к виртуальной машине с помощью службы $51 по сети, прочтите следующий пункт. 


Доступ к виртуальной машине через службу $51 


Введите открытый ключ в работающей виртуальной машине, и она будет готова 
войти в систему с помощью службы ѕѕћ. Но прежде чем войти в систему, сделайте 
следующие шаги. 


1. Добавьте назначаемый ІР-адрес. На панели мониторинга ОрепЅќасКк перейдите 
в раздел инстансов, нажмите кнопку Моге (Подробнее) на записи, содержащей 
инстанс, и нажмите кнопку Аѕѕосіаѓе ЕІоаїпо ІР (Связать назначаемый ІР). 


Нажмите на знак плюс (+) рядом с полем ІР Ааагеѕѕ (ТР-адрес), выберите пул 
с плавающими ІР-адресами и нажмите кнопку Аосаќе ІР (Назначить). Назна- 
чаемый адрес должен появиться в поле ІР Ааагеѕѕ (ТР-адрес). Выберите порт, 
который необходимо связать, и нажмите кнопку Аѕѕосіаќе (Связать). 


2. Используйте службу $$ для доступа к инстансу. В системе Глпах, имеющей до- 
ступ к сети, в которой есть назначаемый адрес, выполните команду $$1 для входа 
в систему. Предположим, что файл .рет вашего ключа называется тус1оџа. рет, 
тогда пользователь по умолчанию на инстансе — это с1оид-изег, а ТР-адрес — 
10.10.10.100, и вы можете ввести следующую команду для входа в систему: 


# 551 -1 мус1оиа.рет с1оиа-иѕег@10.10.10.100 
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Теперь можно войти в систему без пароля. Для администрирования системы 
примените команду зидо от имени пользователя по умолчанию. 


Развертывание облачных образов 
с помощью Атахоп ЕС2 


Атагоп Еаѕйс Сотршет Сриа (Атагоп ЕС2) — это облачная платформа, которая 
подходит для платных облачных вычислений. Как и ОрепЅѓасК, она позволяет 
выбирать из предварительно настроенных образов виртуальных машин нужные 
и настраивать их по мере необходимости. 

Чтобы начать использовать Ата7оп ЕС2 для запуска виртуальных машин, 
откройте страницу бета Ѕќагќеа (Начало работы с АҰЅ) на сайте Атахоп еб 
Ѕегуісеѕ (ауѕ.атахоп.сот/дейіпо-ѕќагќеа) и перейдите по ссылкам для создания новой 
учетной записи. После входа в систему отображается полный спектр служб АХУ. 
Выберите пункт Ѕідп Іп {о ће Сопзо (Войти в консоль), и появится консоль управ- 
ления АМ (рис. 28.4). 


амѕ Ѕемсез = Незошсе Сгоцра - % 


А\М/5 Мападегтепї Сопѕо!е 


АМ вегуісез Ассезз гезошгсез оп (ће до 


Ассам ће Маарага С сене што е ММУ 
Соте Мобйе Ар онат тоге (2 


> лизенисея Ехріоге АМ 


АМУ Зесытиуныь, 


Вой а зов Сетгабу ум апд тылар зесачу велэ ала гытка 
Са молей нив пері ноен н д сена евон. соетрбалсе мая вата тоге (2, 


папка етим ъан шаан арр 
зил ес? мее зз Фев 
2-3 тешез имея, 


© Ф 


Сотпесі ап ЮТ бемісе Флага тіргайпо 19 АМУ нага а безеіортеті ргојесі  Оерівуа пегтегіев гтісговегмісе 
чие даз оТ маем Со посге Мугол мае Собе бае Мл (атаба, АЯ Санау лизо 


З тииез 1-2 пез тии 2телез 


тато Оупаттоов 


мно тоге зсае? Ту а зегуейема ОБО бивьыне меге ог 
уои тобет зори, бет сатеа (2, 


тее ОНИ Тези 


бет асоеза 19 3505 зей-расеа опште оке соуепігур АНУ 
ргобитз але зегикет, Цеа тоге [2] 


Саме мез АИФ Сетћеа мие репу езрелз ѓе оу бетапа 


4? [72 в. о № оооалиоги апе реајеа Рауф. бе! пате (2 
529 Ф 


Наме Геебьасі? 


> бее тоге 


Рис. 28.4. Запуск облачных инстансов с помощью консоли управления Атағоп ЕС2 


Чтобы запустить первый инстанс виртуальной машины Глпах, выполните сле- 
дующие действия. 


1. Выберите пункт Гаџипсћ а Миа! Маспте (Запустить виртуальную машину). Вы- 
берите систему Глпих (Кеа Наё Епѓегргіѕе Тлпих, ЗОЗЕ ТГапих, ОБапи ит. д.) 
или Утао\$ АМТ5 (Атахоп Масһіпе Гптабез) для запуска. 
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2. Найдите нужный образ и нажмите кнопку Ѕеіесі (Выбрать). 


3. На странице выбора типа инстанса выберите нужный, основываясь на количе- 
стве процессоров, объеме памяти, типе хранилища и сетевых функциях. 


4. Выбрав тип инстанса, нажмите кнопку Мехе (Далее) и перейдите в окно Сопйдиге 
Іпѕќапсе Оеай$ (Детальная информация). 


5. На экране Сопћдиге Іпѕїапсе Реай$ (Детальная информация) выберите суще- 
ствующий УРС или создайте новый. Затем изменяйте любые настройки. 
Например, выберите пункт ЕпаЫе (Включить) в разделе Аиќо-аѕѕідп Рис ІР 
(Назначить публичный ТР), чтобы иметь возможность войти в свой инстанс 
через Интернет. 

6. Выберите пункт Веміем апа Ёаипсн (Просмотреть и запустить). Появится окно 
Кеуіеуу Іпѕїапсе Гаипсћ (Просмотр запуска инстанса). 


7. Просмотрите настройки инстанса и нажмите кнопку Гаипсћ (Запустить), чтобы 
запустить его. На рис. 28.5 показан пример инстанса системы КНЕТ 8, готового 
к запуску. 
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Рис. 28.5. Настройте и запустите инстанс ВНЕ! 8 на А\5 


8. Выберите существующую пару ключей или нажмите кнопку Сгеаќе а М№ем Кеу Рай 
(Создать новую пару ключей), чтобы создать закрытый и открытый ключи для 
инстанса. 


9. Выберите пункт Гаипсћ п апсез (Запустить инстансы), чтобы запустить ин- 
станс. 


10. Выберите пункт Мем Іпѕќапсеѕ (Просмотр инстансов), чтобы просмотреть список 
запущенных инстансов. Для их поиска по имени используйте соответствующее 
поле. 
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11. Выберите нужный инстанс, а затем нажмите кнопку Соппесі (Подключиться). 
Следуйте инструкциям, применяя службу $51 для входа в созданный вами 
публичный ІР-адрес. Например, команда для входа в инстанс АМ/$ будет вы- 
глядеть следующим образом: 


# 55һ -1 "уоигам$ .рет" ес2-изег@ес2-м-хх-ууу-22.и5-еа$*- 
2. сотри+е. атагопамѕ . сот 


12. Закончив работу с инстансом, отключите его, выбрав нужный на странице 
Іпѕапсеѕ (Инстансы), а затем выбрав Асііопѕ № Іпѕќапсе Ѕїаїе У Тегттае (Дей- 
ствия » Состояние инстанса » Завершить). При появлении запроса согласитесь 
на завершение, чтобы удалить инстанс и связанное с ним хранилище. 


Важно помнить, что нужно удалять инстансы после окончания работы с ними, 
иначе с вас будут продолжать взимать плату. 


Резюме 


Понимание того, чем облачные вычисления отличаются от простой установки опе- 
рационной системы непосредственно на компьютер, поможет вам адаптироваться, 
так как все больше и больше центров обработки данных переходят к облачным 
вычислениям. В начале этой главы я советовал взять несколько облачных образов, 
объединить их с данными и запустить на локальном гипервизоре Тлпих, чтобы по- 
нять, как работают облачные образы. 

После этого я показал, как можно запускать собственные виртуальные образы 
на облачной платформе ОрепЅѓасК, включая настройку сетевых интерфейсов, вы- 
бор способа запуска виртуального инстанса и запуск виртуального образа. Я также 
описал облачный сервис Атахор Еаѕбіс Сотриќе С]оча, в котором вы можете 
заплатить за использование облачного хранилища и время обработки, если у вас 
недостаточно собственных вычислительных ресурсов. 

В следующей главе рассказывается, как задействовать АпѕіЫе для автоматиза- 
ции развертывания хост-систем и приложений в вашем центре обработки данных. 


Упражнения 


Чтобы выполнить упражнения этой главы, настройте хост-систему в качестве ги- 
первизора (хост-компьютер КУМ). Он нужен для запуска виртуальной машины. 
Если затрудняетесь с решением заданий, воспользуйтесь ответами к упражнениям, 
приведенными в приложении Б (хотя [лпих позволяет решать задачи разными 
способами). 


1. Чтобы создать образ виртуальной машины, установите пакеты веп1 о1таве, 
с1оџа-іпіт, дети-1т8 и уігі-уіемег. 


2. Загрузите облачный образ из проекта Еейога. 
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С помощью команды аети-1тр создайте снимок этого образа в формате дсом2 
с названием туут. дсом2, который вы сможете использовать позже для объеди- 
нения с вашими собственными данными. 


Создайте файл метаданных с1ои9-1п14 с именем те+а-даќа, который устанав- 
ливает идентификатору іа инстанса значение туут, а имени локального хоста — 
туут. ехатр1е . сом. 


Создайте файл пользовательских данных с1ои4а-1п1* с именем иѕег-Яаќ+а, 
который устанавливает паролю пользователя по умолчанию значение фе 
и сһраѕѕма и не даст истечь сроку действия пароля с помощью параметра 
{ехріге:Ға1ѕе}. 

Запустите команду вепіѕоітаве, чтобы соединить файлы теёа-да+а и иѕег-да+а 
и создать файл туда+а.іѕо, который в дальнейшем будет применяться вирту- 
альной машиной. 


Используйте команду у1гЕ-1п${а11, чтобы соединить образ виртуальной маши- 
ны туут. дсом2 с образом тмудажа. 150 и создать новый образ виртуальной машины 
пеммт на вашем гипервизоре. 


Задействуйте команду \1г{-у1емег, чтобы открыть консоль для виртуальной 
машины пемут. 


Войдите в виртуальную машину пем\мт с помощью учетной записи пользователя 
Ғедога и пароля +еѕ+, которые вы установили ранее. 


Автоматизация 
приложений 


и инфраструктуры 
с помощью системы 


Ап Бе 


В этой главе 


и Система АпяЫе. 

и Установка системы АпзЫе. 
ш Развертывание. 

ш Выполнение аа-һос-команд. 


Ранее в книге в основном рассматривалась ручная настройка отдельных систем 
Тіпих. Мы научились устанавливать программное обеспечение, редактировать 
файлы конфигурации и запускать службы непосредственно на машинах. Работа 
на отдельных хостах Глпих является основополагающим умением для управления 
системами Глпих, но сама по себе она плохо масштабируется. Вот тут и вступает 
в дело система АпѕіЫе. 

Система Апз$1е сосредоточивает администрирование Глпих не на отдельных 
системах, а на группах систем. Она перемещает конфигурацию этих узлов с каждой 
отдельной машины на узел управления. Она заменяет пользовательский интерфейс 
оболочки на каждой машине каталогами АпѕіЫе, которые запускают задачи на 
других машинах сети. 

Хотя наше внимание сосредоточено на управлении системами Глпих, Ап Ые 
может управлять также многими элементами вокруг систем Гтих. Существуют 
модули Ап Ые для обеспечения того, чтобы машины были включены, сетевые 
устройства правильно настроены и удаленное хранилище было доступно. 
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Во всех центрах обработки данных, кроме самых маленьких, умение автоматиче- 
ски развертывать системы [тих и управлять ими и окружающей инфраструктурой 
становится обязательным требованием для многих ИТ-специальностей. Для пол- 
ностью контейнеризованных центров обработки данных платформы приложений 
на базе КиБегпеќѓеѕ, такие как ОрепЅћі, становятся отраслевым стандартом для 
оркестрации и автоматизации контейнеров (см. главу 30 «Развертывание при- 
ложений в контейнеры с помощью кластера КиБегпебез»). Для инфраструктуры 
и более традиционных развертываний приложений чаще всего используется си- 
стема Ап е. 

В этой главе мы рассмотрим, как начать работу с АпѕіЫе. Затем перейдем к раз- 
вертыванию приложения в наборе систем Глпах с помощью АпзЫе и поговорим 
о том, как работать с этими системами, повторно развертывая каталоги и выполняя 
специальные команды. 


Система Апѕібіе 


Система АпѕіЫе расширяет все полученные до этого знания о Глпих. На базовом 
уровне АпѕіЫе включает в себя: 


® язык автоматизации, описывающий задачи, которые нужно выполнить для до- 
стижения определенного состояния. Они собраны в файлы р/ауђооѓѕ; 


® механизм автоматизации, который используется для запуска файлов р|ауБоок$; 


® интерфейсы, которые применяются для управления каталогами и другими 
компонентами автоматизации и их защиты и реализуются с помощью команд 
и архитектуры КЕЅТ Ш АРІ. 


Задействуя файлы шуешогу (которые определяют наборы хостов) и р!ауБооК$ 
(они определяют наборы действий, выполняемых на этих хостах), система АпѕіЫе 
настраивает хост-системы следующим образом. 


® Простая настройка функций. Вы создаете файлы шуешогу и каталоги в виде 
простых текстовых файлов, где идентифицируете компоненты Ііпих, на которые 
действуют модули. Кодирование не требуется. 


® Настройка нужных результатов. В этом случае описываются ресурсы, кото- 
рые определяют состояние, необходимое для того, чтобы объект находился 
на узле. Это состояние может быть запущенной службой ѕуѕёета, сетевым 
интерфейсом с определенным набором адресов или созданным разделом 
диска определенного размера. Если по какой-то причине состояние объекта 
изменяется, вы можете снова запустить каталог, чтобы АпѕіЫБе вернула узел 
в заданное состояние. 


® Соединения $8Н. По умолчанию на каждом узле хоста должна быть запу- 
щена служба ЅЅН, настроенная таким образом, чтобы система АпѕіЬе могла 
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связываться с ней из узла управления. Аутентификация на основе ключей для 
обычных учетных записей пользователей позволяет это сделать, а для получе- 
ния привилегий суперпользователя применяется команда зидо. Поскольку вы 
задействуете службу $5Н, которая, вероятно, уже запущена на хосте, не нуж- 
но запускать дополнительные агенты или настраивать специальные правила 
брандмауэра. 


Изучив основы работы АпѕіЫе, вы сможете выполнять широкий спектр слож- 


ных действий, таких как перечисленные далее. 


Создание инфраструктуры. С помощью системы АпѕіЬе можно создать ин- 
фраструктуру, необходимую приложениям, будь то установка операционных 
систем на пустом компьютере или в качестве гипервизоров (вместе с их вир- 
туальными машинами), настройка устройств хранения данных или сетевых 
устройств. В каждом из этих случаев Ап Ые может использовать существу- 
ющие инструменты настройки, чтобы ими можно было управлять в одном 
месте. 


Развертывание приложений. Описывая желаемое состояние приложений, си- 
стема АпзШе может не только задействовать задачи для развертывания наборов 
приложений на нескольких узлах и устройствах, но и воспроизводить каталоги, 
чтобы вернуть приложение в желаемое состояние, когда функция нарушена или 
изменена непреднамеренно. 


Управление контейнерами и операторами. Недавние обновления системы 
АпѕіЫе позволяют ей развертывать контейнерные приложения в инфраструк- 
туре КиБегпебез, такой как ОрепЗЫ. Операторы в ОрепЅ, которыми может 
управлять оператор АпѕіЫе, способны не только определять состояние кон- 
тейнерных приложений, но и реагировать на изменения в режиме реального 
времени и облегчать обновление. (Подробнее см. на странице АпѕіБе Орегаїог 
млм. ап е.сот/Ыод/апЫе-орегаког.) 


Управление сетью и хранилищем. Задачи настройки, тестирования, провер- 
ки и улучшения сетевой инфраструктуры, которые чаще всего выполняются 
вручную, можно автоматизировать с помощью Ап е. Сейчас доступны 
тонны коммерческих и бесплатных каталогов, которые предлагают те же 
интуитивно понятные инструменты АпѕіБе, которые вы используете для раз- 
вертывания систем Глпих и которые к тому же предназначены для конкретных 
сети (Яосѕ.апѕібіе.сот/апѕіЫе/аѓеѕі/пебумогк/іпаех.һті), устройств и сред хранения 
(аосѕ.апѕіЫе.сот/апѕібіе/аїеѕ{/тойиіеѕ/1і_оЁ ѕіогаде гтойиіеѕ.Һті). 


Управление облачными средами. Конечно, вы можете развернуть инфраструк- 
туру на пустом компьютере, но система АпѕіЬе позволяет использовать ин- 
струменты для подготовки инфраструктуры и приложений к облачным средам. 
Только Атахоп Мер Ѕегуісеѕ (АҰУЅ) доступны около 200 модулей АпѕіЫе для 
управления инфраструктурой и приложениями. Имеются также модули для 
АБаБа, Алиге, Соое и нескольких десятков других облачных сред. 
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Элементы системы Апѕібіе 


Действие запущенных файлов рІаубооКѕ распространяется на одну или несколько 
целевых хост-систем (представлены файлами шуепо1ез), они выполняют эле- 
менты, называемые р/ауѕ. Каждый такой элемент содержит одну или несколько 
задач. Для выполнения задачи элемент вызывает модули, которые выполняются 
в том порядке, в котором установлены. Перед использованием АпѕіЫе необходимо 
изучить компоненты системы. 


Файлы шуепоне$ 


Собирая хост-системы (узлы), которыми вы хотите управлять в так называемых 
файлах іпоепіотіеѕ, вы можете управлять машинами, отчасти похожими на группы. 
Сходство заключается в следующем: 


Ф они расположены в аналогичных местах; 
® предоставляют такие же услуги; 


® назначаются конкретному этапу процесса, например разработке, тестированию, 
постановке и производству. 


Вхождение хостов более чем в одну группу позволяет воздействовать на них 
с помощью различных типов атрибутов. Например, һоѕ&01 может находиться как 
в группе пемуогк (ее местоположение), так и в группе р (приложение, которое она 
предоставляет). Задачи, выполняемые в этих группах шуепогу, могут позволить 
каждому хосту получать сетевые настройки в зависимости от его местоположения 
и приложений, которые он запускает, то есть в зависимости от его назначения. 

Существует множество способов создания файлов шуепотез. Вы можете уста- 
новить линию статических серверов или создать ряд систем. А можете использовать 
динамические списки серверов от облачных провайдеров, таких как Ахиге, А\/$ 
и ССР. 

Задействуя переменные, вы можете назначить атрибуты набору узлов в файле 
іпуепќогу. Эти переменные могут настраивать такие функции, как порт, с которого 
служба доступна с хоста, значение тайм-аута для службы или местоположение 
службы, используемой хостом (например, база данных для сервера протокола 
сетевого времени). 

Подобно файлам р!ауБооК$, файлы шуешоту могут быть простыми текстовыми 
файлами, а также реализоваться из скрипта іпуепќѓогіеѕ. 


Файлы ріаубоокѕ 


Файлы р/ауђоокѕ создаются в формате ҮАМІ. и описывают конечное состояние че- 
го-либо. Такое состояние может привести к установке программного обеспечения, 
настройке приложений или запуску служб. Этот формат может фокусироваться 
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только на приложении или включать всю окружающую его среду (сеть, хранилище, 
аутентификацию или другие функции). 

Файлы ріауБооКѕ предназначены для последующего развертывания тех же ком- 
понентов, адаптации к другим компонентам или восстановления первоначального 
замысла конкретного инстанса файла рІауБоок. Поскольку р|ауфооК$ предназначе- 
ны для повторного применения, многие пользователи контролируют свои файлы, 
задействуя исходный код. Таким образом, вы можете отслеживать изменения 
с течением времени и сделать файлы рІауБооКѕ доступными. 


Скрипты ріауѕ 


Внутри файла рІауБооКѕ находится один или несколько скриптов р/ауѕ. У каждого 
такого скрипта есть цель, например идентификатор һоѕ, который сообщает фай- 
лам рІаубооКѕ, какие хост-системы должны работать. За ним может последовать 
гешофе_изег, который сообщает ріауБооКѕ, какому пользователю нужно пройти 
аутентификацию на хосте. Роль также может указывать на то, что ей необходимо 
повысить привилегии с помощью команды $зидо, прежде чем она начнет решать 
задачи. После этого на хостах выполняется одна или несколько задач для опреде- 
ления фактической активности. 


Задачи 


На базовом уровне каждая задача запускает один или несколько модулей. Зада- 
ча — это способ связать запускаемый модуль с параметрами и возвращаемыми 
значениями, которые к нему относятся. 


Модули 


Сейчас доступны сотни модулей АпѕіЫе, и они продолжают создаваться. При за- 
пуске модуль проверяет, что необходимое состояние, определяемое предоставлен- 
ными ему параметрами, достигнуто, и если цель не находится в нужном состоянии, 
предпринимает действия, необходимые для перехода в это состояние. Индекс 
модулей сортирует эти модули по категориям (940с$.апЫе.сот/апЫеЛае5Итоаце5/ 
тодШез_Бу_са{едогу.Нт!). 

Примеры модулей — это уит, туза1_96 и ірті ромег. Модуль уит может уста- 
навливать и удалять программные пакеты и репозитории УМ или иным образом 
управлять ими. Модуль туѕ41_46 позволяет добавлять базу данных Му5ОТ. на 
хост или удалять ее оттуда. Модуль 1рт1 _рошег позволяет проверить состояние 
компьютеров с интерфейсами ІРМІ и убедиться, что они находятся в требуемом 
состоянии (включено или выключено). 

Переменные применяются ко всем задачам. Например, с помощью модуля уит 
вы можете определить, следует ли устанавливать пакет, по его состоянию: если со- 
стояние пакета равно іпѕ&а11еа, то его устанавливать не нужно, даже если доступна 
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более свежая версия. Однако если вы задействуете переменную Татез+, то более 
новая версия пакета будет установлена, если он не обновлен. 

Параметры позволяют добавлять информацию для изменения задачи. На- 
пример, с помощью модуля изег при добавлении пользователя в систему можно 
определить его имя, пароль, идентификатор и оболочку. 

Помимо настройки модулей выполнения, из файлов р!ауБооК$ вы также можете 
запускать модули непосредственно из командной строки. Это позволяет действо- 
вать на хосте немедленно, без запуска всего файла р1ауроок. Например, можно 
пропинговать набор хостов, чтобы убедиться, что они запущены, или проверить 
состояние службы. (См. подраздел «Запуск а4-Вос-команд в системе АпѕіБе» далее 
в этой главе для получения дополнительной информации.) 

Чтобы узнать больше о конкретном модуле, перейдите на сайт АпѕіЫе (вы- 
берите раздел Модиез на странице й0сѕ.апѕіЫе.сотраде) или используйте команду 
ап5161е-4ос. Например, чтобы прочитать о том, как применить модуль сору для 
копирования файлов в удаленное место, введите следующее: 


# апѕ1р1е-аос сору 
> СОРҮ (/ч$г/116/ру{Поп3З. 7/51{е-расКаве$ /ап$161е/тоди1е$/+11е$/ 


сору.ру) 
Тһе 'сору' тоди1е соріеѕ а +11е Ғгот һе 1оса1 ог 
гетофе тасһіпе Фо а 1Іосаїіоп оп {Пе гетоёе тасһіпе.. . 


Большинство модулей имеют возвращаемые значения и предоставляют инфор- 
мацию о результатах своих действий. Общие возвращаемые значения включают 
логические типы, указывающие, была ли задача не выполнена (Ғаі1еаӣ), пропущена 
(ѕкірреа) или изменена (сһапееа). 


Роли, импорты и вложения 


По мере роста вашей коллекции файлов р|аурооК$ вы можете захотеть разбить их на 
более мелкие части, которые можно включить в несколько файлов р!ауБоок$. Можете 
разделить большой файл рІаубооК на отдельные многоразовые файлы, а затем до- 
бавить их в основной файл файлов р|аурооК$, используя вложения и импорты, охва- 
тывающие больший функционал, чем задачи: модули, переменные и обработчики. 

Дополнительные сведения о применении вложений, импортов и ролей есть 
в разделе Стгеаііпе Веизае Р]ауБооК$ на странице аосѕ.апѕіЫе.сот/апѕіЫе/аёеѕі/ 
иѕег_диіае/ріаубоокѕ_геиѕе.ћїіті. 


Развертывание с помощью системы АпѕЅібіе 


Чтобы начать использовать АпѕіБе, необходимо выполнить развертывание веб- 
службы на множестве хостов. В следующем примере показано, как после установки 
АпѕіЫе создать файлы іпуепќогіеѕ и рІауђооКѕ, необходимые для развертывания 
этой службы. Затем мы рассмотрим, как применять апѕір1е-р1аубоок для факти- 
ческого развертывания файла рІауђоокК. 
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Подготовка к развертыванию 


Для начала я создал четыре виртуальные машины со следующими именами: 


апѕір1е Использовался как контрольный узел Ап$161е 
105101 Первый целевой узел 
һоѕ+02 Второй целевой узел 
05103 Третий целевой узел 


Затем выполнил следующие действия, чтобы подготовиться к использованию 


этих хостов с системой АпѕіЫе. 


1. 


Установил Еейога на каждой из виртуальных машин (система КНЕТ. тоже по- 

дойдет). 

Для каждого из трех целевых узлов (һоѕ 01, һоѕ 02 и по5{03) сделал следу- 

ющее: 

" запустил службу ЅЅН (при необходимости она открывает ТСР-порт 22) 
в узле управления Ап е; 


= создал учетную запись пользователя, не являющегося суперпользователем. 
Позднее, когда вы будете применять рІаубооКѕ, добавьте параметр --а$К- 
ресоте-раѕѕ, чтобы получать запрос на ввод пароля для расширения при- 
вилегий; 


" установил пароль для этого пользователя. 


При запуске АпѕіЫе я задействую обычную учетную запись пользователя для 


подключения к каждой системе, а затем включаю привилегии суперпользователя 
с помощью команды $и9о. 


Настройка $55Н-ключей 
для каждого узла 


Войдите в управляющий узел (ап5161е) и убедитесь, что он работает с тремя ва- 
шими узлами. Либо убедитесь, что можете связаться с хостами через О№5-сервер, 
либо добавьте их в файл /еїс/һоѕёѕ на контрольном узле. Затем настройте ключи 
для доступа к этим узлам, например, так. 


1. 


Как суперпользователь добавьте в файл /еёс/һоѕ+ѕ ІР-адрес и имя для каждого 
узла, на котором хотите развернуть свои АпяЫе р[ауБоок$: 


192.168.122.154 һоѕї01 
192.168.122.94 — По${02 
192.168.122.189 һоѕїӨз 


Все еще находясь в системе ап$161е, сгенерируйте $$1-ключи, чтобы создать 
связь без пароля с каждым хостом. Вы можете запустить эту и более поздние 
команды АпѕіЫе как обычный пользователь в хост-системе апз11е: 
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$ 55һ-Кеуреп 

бепега*1па риб11с/рг1уафе гза Кеу раіг. 

Епёег +11е іп мһісһ Ёо заме Ёһе Кеу (/һоте/јое/.55һ/ій гѕа): <ЕМТЕК> 
Сгеафе дігесёогу ' /һоте/јое/.55һ'. 

Епег раѕѕрһғаѕе (етрёу Ғог по раѕѕрһгаѕе): <ЕМТЕВ> 

Епфег ѕате раѕѕрһғаѕе араіп: 

Үоиг іаепіҒісаіоп Паз Бееп ѕауеа іп /һоте/јое/.55һ/іа гѕа. 

Үои” риб11с Кеу һаѕ Бееп ѕауеа іп /һоте/јое/.55һ/іа гѕа.рир. 

Тһе Кеу Ғіпвегргіпё 15: 

ЅНА256 :0263Ах10а2пХ+дКрте#5А2с320К5791һҒаНу+иѕКР76 јое@апѕіб1е 

Тһе Кеу'5ѕ гапдотаг{ ітаре 15: 

+---[В5А 3072]----+ 

| | 

| о+| 
| .| 
| (++ | 
| бав | 
| о+о + 0.о| 
| .ооВ.Во+о| 
| *+0+0.0| 
| ..=ВЕо | 
+----[5НА256]----- + 


3. С помощью команды ѕ5һ-сору-іа скопируйте свой открытый ключ в корневую 
учетную запись на каждом хосте. В следующем цикле +ог выполняется копиро- 
вание пароля пользователя на все три хоста: 


$ Ғог і іп 1 2 3; ӣо 55һ-сору-іа јое@һоѕ+е$і; допе 
/иѕр/біп/ѕ5ћ-сору-ій: ТМЕО: Ѕоигсе оф Кеу(5) фо Бе іпѕ+а11еа: 
"/Һоте/јое/ .ѕ5һ/іа гѕа. рир" 
/иѕг/біп/ѕ5һ-сору-іа: ТМЕО: а етр1пё То 1ор іп мі+һ һе 
пем Кеу($), ёо +11{ег ои апу һа аге а1геа4у іпѕ+а11еа 
/иѕг/біп/ѕ5һ-сору-іа: ТМЕО: 1 Кеу($) гетаіп +о Бе іпѕ+а11еа 
-- ЇҒ уои аге рготрёеа пом 1% 15 о іпѕёа11 {Пе пем Кеуѕ 
јое@һоѕ+01'5 раѕѕмога: «пароль» 


М№итбег о+ Кеу($) аддеа: 1 
Мом гу 1025118 1п%о {Ве тасһіпе, міёһ: "55һ 'јое@һоѕ+01'" 
апа сһеск ёо маке ѕиге һа оп1у {Не Кеу($) уои мап+еа меге аайеа. 


/иѕр/біп/ѕ5ћ-сору-ій: ТМЕО: Ѕоигсе оф Кеу(5) о Бе іпѕ+а11еа: 
"/Һоте/јое/ .ѕ5һ/іа гѕа. рир" 

/иѕг/біп/ѕ5һ-сору-іа: ТМЕО: а етр1пё Фо 1ор іп мі+һ һе 

пем Кеу($), ёо +11{ег ои апу һа аге а1геа4у іпѕ+а11еа 

/иѕг/біп/ѕ5һ-сору-іа: ТМЕО: 1 Кеу($) гетаіп +о Бе іпѕ+а11еа 

-- 1+ уои аге рготрёеа пом 1% 15 о іпѕёа11 {Пе пем Кеуѕ 


јое@һоѕ+02'5 раѕѕмога: «пароль» .. 


Далее необходимо установить пакет апѕір1е на узел управления (ап$161е). 
С этого момента вся работа выполняется из узла управления. 
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Установка системы АпѕіБіе 


Пакеты программного обеспечения АпѕіЫе доступны для КНЕТ., Еейога, ОБипёи 
и других дистрибутивов Глпих. Поскольку файлы р!ауфоок$ АпѕіЫе запускаются 
с управляющего узла, нет необходимости устанавливать программное обеспечение 
АпѕіЫе на других узлах, с которыми будет работать система. 

Итак, начнем с установки пакета ап5161е на КНЕГ, Еейога, ОБипба или другой 
системе Глпих, которую вы хотите использовать в качестве контрольного узла. Этот 
узел должен иметь возможность подключаться к службе $5Н, работающей на узлах 
хоста, на которых вы хотите осуществить развертывание. 

Установите пакет ап$161е одним из следующих способов. 


ө В дистрибутиве ВНЕГ 8: 


# ѕирѕсгіріоп-тапағег геро$ \ 
--епаб1е апѕіб1е-2.9-Ғог-гһе1-8-х86 64-гртѕ 
# ап іпѕ+а11 апѕір1е -у 


ө В дистрибутиве ЕеЧога: 


# ап іпѕ+а11 апѕір1е -у 


ө В дистрибутиве ОЪипби: 


$ ѕиао арі ирда+е 

$ ѕиао арі іпѕ+а11 ѕоҒёмаге-ргорег+іеѕ - соттоп 

$ зидо арі-айа-героѕіёогу --уеѕ - -ирӣа+е рра:ап$161е/ап$161е 
$ ѕиао арі іпѕ+а11 ап$161е 


Установив АпѕіЫе, можно создавать файлы іпуепќогіеѕ, которые предоставляют 
целевые объекты для файлов рІауБооК. 


Создание файлов іпуепќогіеѕ 


Простой файл іпуепіогу может состоять из имени, представляющего цель для фай- 
ла рІауђоок, и хост-систем, связанных с этим именем. Для начала приведу пример 
шуепбогу, который содержит три группы статических хостов: 


[м ] 

105101 
ћоѕ+02 
105103 


[пемуогк] 
[05101 


[ћоиѕ+оп] 
ћоѕ+02 
05103 
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Добавьте эти строки в файл /еёс/апѕір1е/һоѕ+ѕ, чтобы сделать их доступными 
при выполнении команд и файлов р|ауБооК$ в Ап е. 

Хотя процедура просто развертывается на множестве хостов в группе мѕ, две 
другие группы показывают, как вы можете настроить р1ауБооК$ для отдельных за- 
дач в зависимости от расположения узлов (пемуогк и һоиѕёоп). 


Аутентификация на хостах 


Чтобы убедиться, что вы можете получить доступ к каждому хосту из системы 
Ап5іЫе, настройте службу ѕ5һ для каждого хоста. Пароль вводить не нужно: 


$ 5ѕ5һ јое@һоѕ+е1 
[аз 1Іоріп: Мед Ғебр 5 19:28:39 2020 Ғгот 192.168.122.208 
$ ехії 


Повторите команду для каждого хоста. 


Создание файла р!аубоок 


Файл рІаурооК устанавливает и запускает программное обеспечение веб-сервера 
на хостах, определенных ранее в группе мѕ. Аналогично, рІаубооК удостоверяется, 
что программное обеспечение брандмауэра установлено и работает и что порт 80 
(БЫр-порт) открыт в брандмауэре, обеспечивая доступ к веб-серверу. Я добавил 
в файл ѕітр1е меб.уат1 следующее содержимое: 


- пате: Сгеафе мер зегуег 
һоѕ 5: м5 
гето+е_изег: јое 
ресоте теһоа: ѕидо 
Бесоте: уеѕ 


{а$К$: 
- пате: Тп$фа11 Ира 
учит: 
пате: Ира 


$фафе: ргезепЕ 
- пате: Сһеск һа ПЕЕра паз $Фаг%еа 
ѕегуісе: 
пате: Ира 
$фафе: ѕЁагіеа 
- пате: Іпѕ+а11 +1гема11а 
учит: 
пате: Ғігема11а 
$фафе: ргезепЕ 
- пате: РЕ1гема11 ассеѕ5 Фо һі+рѕ 
Ғігема11а: 
зегу1се: Пр 
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регтапеп*: уеѕ 
°фафе: епаб1еа 
- пате: Везфаге һе Ғігема11а зегу1се Ёо 1оаа іп {Пе Ғігема11 
сһапрвеѕ 
зег\1се: 
пате: +1гема11а 
$фафе: гезфаг%еа 


Три дефиса в начале файла р!ауБооКк — 1тр1е_меб.уат1 — указывают на начало 
содержимого УАМЕ в нем. Рассмотрим остальные части файла. 


® папе. Скрипт р1ау называется Сгеаїе меб ѕегуег. 
® һоѕ+5. Применяет этот файл шуепботу к хостам в группе мѕ. 


© гетоте_и5ег. Аккаунт обычного пользователя, который используется для 
аутентификации во всех удаленных системах. Это делается для того, чтобы 
обезопасить систему и не позволить корневой вход в удаленную систему. 


® ресоте. Включение этой функции (уеѕ) дает команду АпѕіЫе стать другим поль- 
зователем, не гето{е_изег, для запуска модулей в задаче. 


® Бресоте теїһоа. Выбирает функцию, которую нужно применить, чтобы расши- 
рить привилегии (ѕидо). 


® Бесоте иѕег. Устанавливает, какой пользователь должен пройти аутентифика- 
цию (гоо*). 


® +аѕкѕ. Запускает раздел, содержащий задачи. 


® папе. Название, данное задаче. В первом случае это Тпз{а11 Һера, затем Сһеск 
һа НЕЕра паз ѕ+агіеа и т. д. Следующая строка начинается с имени модуля 
(уит ѕегуісе Ғігема11а ит. д.). 


Модуль уит говорит системе, что нужно проверить, есть ли пакет һ&+ра (ргезеп®), 
а если нет, то установить его. 

ѕегуісе проверяет, работает ли демон Пра (ѕ+аг+еа). Если служба Пера не за- 
пущена, АпѕіБе запускает ее. 

Модуль уит говорит системе, что нужно проверить, есть ли пакет +1гема114 
(ргеѕеп®), а если нет, то установить его. 

Ғігема11а делает порт для службы һ+єр (ТСР 80) доступным (епаб1еаӣ) и по- 
стоянным (регтапепё : уеѕ) через брандмауэр. 

Модуль ѕегуісе перезапускает службу Ғігема114 (геѕ+агїеа), чтобы включить 
доступ к новому порту брандмауэра службы һр. 


Запуск файла ріІаубоок 


Используйте команду апѕіб1е-р1аубоок для запуска ріауђоокК. Чтобы протестиро- 
вать ріауђоокК перед запуском в реальном времени, примените параметр -С. Чтобы 
увидеть больше деталей в выводе (по крайней мере пока тестируете файл), добавьте 
параметр -м. 
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Имейте в виду: если вы запускаете рІауБоокК с параметром -С, нельзя полностью 
протестировать файл, чтобы убедиться в его корректности. Причина в следующем: 
более позднее действие может потребовать, чтобы более раннее действие завер- 
шилось, прежде чем он может быть выполнен. В этом примере пакет Ира должен 
быть установлен до запуска службы һ++ра. 

Вот пример запуска АпѕіЫе рІауБоок с подробным выводом: 
$ ап$161е-р1ауБооК -\ $1тр1е_меь.уат1 
Оѕіпе /ес/апѕір1е/апѕір1е.сҒе аз соп+1в +11е 


РЕАУ [Сгеа+е меб зегуег] ЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖ ЖЖ ЖЖ ЖЖ жж жж жж ЖЖ ЖЖ ЖЖ ЖЖ 


ТАЅК [Саёһегіпе Ғас+ѕ] ЖЖЖЖЖЖЖЖжЖжЖЖЖЖЖжЖЖЖжЖжЖЖжЖЖЖжЖЖЖжЖЖжЖжЖЖжЖжЖЖжЖЖжЖжЖЖЖЖ 
ок: [ћоѕ+03] 
ок: [ћоѕ5+02] 
ок: [ћоѕ5+01] 


ТАЅК [1п5%а11 Ира] 


ЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖжЖжЖжЖЖЖЖЖЖЖЖЖЖЖЖЖЖжЖжЖжЖЖжЖжЖЖЖЖЖЖЖЖЖЖЖЖЖжЖжЖжЖжЖЖЖЖЖЖЖЖЖ 


сһапвеа: [һоѕ+@1] => {"сһапреа": %гие, "тѕ8": "", "гс": Ө, 
"пеѕи15": ["Іпѕба11еа: Вера", 

сһапвеа: [һоѕ+@2] => {"сһапреа": ёгие, "тѕ8": "", "гс": Ө, 
"гези145": ["Тп5фа11еа: Вера", 

сһапвеа: [10503] => {"сПпапвей": %гие, "тѕ8": "", "гс": Ө, 


"гези145": ["Тп5фа11еа: Вера", 


ТАЅК [Сһеск һа ВЕЕра һаѕ ѕ+агіеа] 


ЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖЖжЖжЖжЖЖЖЖЖЖЖЖЖЖЖЖЖЖжЖжЖжЖЖжЖжЖЖЖЖЖЖЖЖЖЖЖЖЖжЖжЖжЖжЖЖЖЖЖЖЖЖЖ 


сһапвеа: [һоѕ+ез] => {"сһапреа": гие, "пате": "Вера", 


"таке": "ѕ+агіеа", "ѕ+аіиѕ": 

сһапвеа: [105102] => {"сһапреа": гие, "пате": "Вера", 
"таке": "ѕ+агёеа", "ѕ+аіиѕ": 

сһапреа: [һоѕ+@1] => {"сһапреа": гие, "пате": "Вера", 
"таке": "ѕ+агіеа", "ѕ+аіиѕ": 


ТАЅК [1пѕ+а11 Еїгематта | АЕ ВЯНОК 


сһапвеа: [һоѕ+ез] => {"сһапреа": гие, "тѕ6": "", "гс": 0, "геѕи1+5": 
["Іпѕ+а11еа: +1гема114", "Іпѕёа11еа: руёһопз-аесога+ог... 

сһапвеа: [105102] => {"сһапвеа": гие, "тѕ6": "", "гс": 0, "геѕи1+5": 
["Іпѕ+а11еа: Ғігема11а4", "Іпѕёа11еа: руёһопз-аесога+ог... 

сһапвеа: [һоѕ+@1] => {"сһапреа": гие, "тѕ8": "", "гс": 0, "геѕи1+5": 


["Іпѕёа11еа: Ғігема11а"... 


ТАЅК [Е1гема11 ассеѕ5 фо ВЕЕрх | +++ НЕЕ ЕЕ ЕЖЕ 
ЖЖЖЖ 


ок: [ћоѕ+ез] => {"сһапреа": Ға1ѕе, "тѕр": "Регтапепё орега+іоп, 
(оҒғ1іпе орега1оп: оп1у оп-41$К сопҒірѕ меге а1{егеа)"} 

ок: [ћоѕ+02] => {"сһапееа": Ға1ѕе, "тѕр": "Регтапепё орега+іоп, 
(оҒЕ1іпе орегабіоп: оп1у оп-91$К соп#івѕ меге а1{егеа)"} 

ок: [ћоѕ+61] => {"сһапреа": Ға1ѕе, "тѕр": "Регтапепё орега+іоп, 


(оҒғ1іпе орегабіоп: оп1у оп-41$К сопҒірѕ меге а1{егеа)"} 
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РЕАУ ВЕСАР **Ж*ЖЖЖЖЖЖЖжжжжжжжж жж жж ЖЖ ЖЖ жж жж жж жЖжЖжЖжЖЖЖЖ ЖЖ 


һоѕ +01: ок=6 сһапрей=4 ипгеасһаБ1е=0 Ғаі1еӣ=0 $К1рре4=0 гезсиед=@ 
ірпогеа=0@ 
һоѕ +02: ок=6 сһапрей=4 ипгеасһаБ1е=0 Ғаі1еӣ=0 ѕКіррей=0 гезсиед=@ 
ірпогеа=@ 
һоѕ +03: ок=6 сһапрей=4 ипгеасһаБ1е=0 Ғаі1еӣ=0 ѕКіррей=0 геѕсией=0@ 
ісрпогеа=0@ 


Выходные данные апѕіб1е-р1аубоок пошагово проходят через каждую задачу. 
Первая задача (баћегіпе Ғасіѕ) показывает, что все три хост-системы в іпуепіогу 
группы мѕ доступны. В выводе не показано только то, что команда использует 
учетные данные для подключения ко всем системам, а затем повышает привилегии 
этого пользователя до привилегий суперпользователя перед выполнением каждой 
последующей задачи. 

Задача Іпѕ+а11 һіёра проверяет, установлен ли пакет һ++ра на каждом хосте. 
Если это не так, АпѕіЫе устанавливает пакет вместе с любыми зависимыми паке- 
тами. Затем АпѕіЫе проверяет состояние службы һ&єра на каждом хосте и, если она 
не запущена, запускает ее. 

После этого на каждом хосте проверяется, установлен ли пакет Ғігена114, и если 
его нет, то система устанавливает его. Затем АпѕіБе добавляет правило брандмауэ- 
ра к каждому хосту, чтобы разрешить доступ к службе һр (ТСР-порт 80), и делает 
этот параметр постоянным. 

Затем РІАҮ КЕСАР выводит результаты выполнения всех задач. В выводе видно, 
что все шесть задач на всех хостах выполнены. Если задача не выполняется, то 
система ее указывает в выводе. 

Можете повторно запустить этот файл р!ауроок, если кажется, что что-то вышло 
из строя или вы внесли в него изменения. Можете также воспользоваться им позже 
для развертывания р!ауроок на разных системах. 

Система АпѕіЫе хорошо развертывает несколько задач в р|ауроок, а также может 
использоваться для одноразовых действий. В следующем разделе я покажу, как 
выполнить некоторые специальные а4-Бос-команды АпѕіБе для запроса и даль- 
нейшего изменения хостов, которые мы только что развернули. 


Запуск ад-Пос-команд в системе АпяЫе 


Апз1Ые позволяет выполнить на своих узлах разовые задачи с помощью специальных 
а4-йос-команд. Таким образом можно напрямую вызвать модуль из командной стро- 
ки АпѕіЫе и заставить его действовать как файл шуепоту. Задачи могут включать: 
® установку программных пакетов КРМ; 

® управление учетными записями пользователей; 
® копирование файлов на узлы и с них; 

® изменение прав доступа к файлу или каталогу; 
ө 


перезагрузку узла. 
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Как и при запуске р[ауБооК, выполнение специальных а4-Вос-команд фокуси- 
руется на достижении желаемого состояния. Команда аЧ-Вос принимает задачу, 
выясняет, что запрашивается, и делает то, что нужно, чтобы достичь запрошенного 
состояния. Чтобы опробовать работу таких команд в АпѕіБе, задействуйте файл 
Іпуепѓогу м5, созданный ранее. 


Примеры использования команд ад-Пос 


Запуская команду аЧ-Вос, вы выполняете действия с помощью модуля Ап Ые. 
Командный модуль применяется по умолчанию, если не указан другой модуль. 
Используя модуль, вы указываете, какие команды и параметры нужно запустить 
на группе узлов в качестве одноразового действия. 

Проверьте, что файл іпуепќогу запущен и работает. В примере видно, что в фай- 
ле іпуепёогу мѕ все хосты работают: 


$ ап$161е мѕ -и јое -т ріпе 
һоѕ&03 | $0ССЕЗ$ => { 
"апѕір1е Ғасёѕ": { 
"аіѕсоуегеа іпёегрге+ег руёһоп": " /иѕг/біп/руЁһоп" 
$, 
"сһапреа": Ға1ѕе, 
"ріпв": "ропе" 
} 
105102 | 50ССЕЅ5 => { ... 
һоѕ+01 | 50ССЕЅ55 => { ... 


Вы можете узнать, работает ли служба ИЕЕра на хостах в шуешогу, проверив 
состояние этой службы с помощью команды ап$161е следующим образом: 


$ ап$161е мѕ -и јое -т ѕегуісе \ 
-а "пате=НЕЕрЯ ѕ&а+е=ѕ+аг+еа" - -сһеск 

һоѕ&02 | $0ССЕЗ$ => { 

"ап$161е_Фас*$": { 

"аіѕсоуегеа іпёегрге+ег руёһоп": "/изг/61п/руПоп" 

$, 

"сһапвеӣ": Ға1ѕе, 

"паме": "Һера", 

"таке": "ѕ+агіеа", 

"Ѕ+аёиѕ": { ... 
һоѕ& 01 | Ѕ0ССЕЅ5 => { ... 


В данный момент на веб-серверах нет содержимого. Чтобы добавить файл 
іпӣех.һ&т1, содержащий текст Не11о Ғгот уоиг мер ѕегуег!, для всех хостов 
в іпуеп(огу, вы можете запустить следующую команду (введите пароль супер- 
пользователя при появлении запроса): 
$ есһо "Не11о Ғгот уоиг меб ѕегуег!" > іпӣех.һЕт1 


$ ап$161е мѕ -т сору -а \ 
"бгс=. /іпаех.һЕт1 деѕё= /маг/ммм/һЕт1/ \ 
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омпег=арасһе ргоир=арасһе тоде=0644" \ 
-Ь --изег јое --Бесоте --аѕк-бесоте-раѕѕ 
ВЕСОМЕ раѕѕмога: ******ж*** 
һоѕ&0@1 | СНАМ№ЕР => { 
"апѕір1е Ғасёѕ": { 
"аіѕсоуегеа іпёегрге+ег_ руёһоп": " /иѕг/біп/руёһоп" 
$, 
"сһапреа": гие, 
"спескзит": "213ае46607е961е9616с7+е944е372945а202ъее", 
"деѕ": "/маг/мим/ И т1 /1паех.Ии1", 
"сіа": 48, 
"вгоир": "арасһе", 
"таѕѕит": "495ҒеБ8ай508648сҒаҒс#69681194+#97", 
"тое": "0644", 


"омпег": "арасһе", 
"ѕесопёехї": "ѕуѕёет и:објесі г:һЕера ѕуѕ сопёепі +: 50", 
"512е": 52, 


"пс": "/һоте/јое/.апѕір1е/+тр/апѕір1е-+тр-1581027374.649223- 
29961128730253/ѕоигсе", 
"таке": "Ғі1е", 
"иіа": 48 
һоѕ&02 | СНАМ№ЕР => { ... 
һоѕ&03 | СНАМ№ЕР => { ... 


Из примера видно, что файл іпӣех.һ&т1 создается владельцем арасће (ОТО 48) 
и группой араспе (СТО 48) в каталоге /маг/ннн/һ&т1 на һоѕ%01. Затем его копия со- 
храняется на һоѕ&02 и һоѕ?0з. Проверьте, что все работает, получив доступ к этому 
файлу с хоста ап$161е через веб-сервер с помощью команды сиг1: 


$ сиг1 һоѕ+01 
Не11о Ғгот уои” меб зегуег! 


Автоматизация задач с помощью Апѕібіе Томег 
АцщотаНоп Егатемогк 


Запуск АпѕіЫе рІаубооК и команд отлично подходит для автоматизации и по- 
следующего изменения наборов хостов, но для создания полностью управляемой 
структуры можно пойти и дальше. Используя программу АпѕіБе Тохуег, можно 
расширить систему развертывания АпѕіЫе. 

Утилита Апѕіре Тошет предоставляет веб-интерфейс для управления всей 
вашей ИТ-инфраструктурой с помощью АпзШе р|ауроок и других компонентов. 
Она позволяет сохранить все ресурсы АпѕіЫе в одном месте и получать уведомле- 
ния. Утилита также дает возможность управлять различными административными 
ролями на предприятии. Интерфейс АпѕіЫе То\жег позволяет легко и непрерывно 
обновлять подготовленные ресурсы. Вместо того чтобы запоминать параметры 
командной строки, вы можете просто нажать кнопку, чтобы настроить и запустить 
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в работу задачи АпѕіЫе. Управление ресурсами реализуется через графический 
интерфейс, а планирование задач осуществляется интуитивно понятными визу- 
альными способами. 

Интерфейс КЕЅТ АРІ можно установить вместе с утилитой АпѕіЫе Тожег, 
он помогает встроить существующие инструменты инфраструктуры в АпѕіЫе. 
Таким образом, можно просто продолжить работу с уже начатыми процессами, но 
управлять ими с помощью Апѕіђе. Чтобы узнать больше об утилите АпзЫе Тохет, 
перейдите на сайт АвяЫе То\ег (ммм. ап е.сот/ргодис$/Хомег). 


Резюме 


Система АпѕіЫе предоставляет уникальный язык форматирования и набор ин- 
струментов для автоматизации многих задач, которые вы изучили в других частях 
ЭТОЙ книги. 

Зная, как создать АпяЫе рІаубооК, вы можете настроить нужную конфигура- 
цию, а затем легко развернуть ее в одной или нескольких хост-системах. 

С помощью Ап Ые рІаубооК вы определяете точное состояние приложения 
и окружающих компонентов, а затем применяете его к хост-системам Глпих, се- 
тевым устройствам или другим целевым объектам. Можете сохранить эти файлы 
р1ауБооК$ и повторно использовать их для получения аналогичных результатов 
в других системах или адаптировать для новых результатов. 

АпяЫе может применять специальные команды а4-Вос для обновления систем. 
Из командной строки апѕір1е вы можете добавлять пользователей, копировать 
файлы, устанавливать программное обеспечение или делать почти все, что можно 
делать с файлом р!ауроок. С помощью этих команд можно быстро применить на- 
бор изменений на нескольких хостах или отреагировать на проблему, требующую 
быстрого исправления на множестве хостов. 

В этой главе мы узнали о различных компонентах системы Апз1Ые, а также 
создали файл р!ауроок для развертывания простого веб-сервера. Затем запустили 
несколько специальных команд а-Вос для изменения систем, в которых был раз- 
вернут созданный файл р!ауБоок. 


Упражнения 


Эти упражнения позволяют попробовать установить Ап$1Ые в системе, где вам 
нужно будет создать свой первый файл АпѕіЫе р|ауБооК и выполнить несколько 
аа-һос-команд АпѕіЫе. Выполнять их стоит в системе Еейога или Ве Наї Епѓегргіѕе 
Тіпих (хотя некоторые упражнения сработают и в других системах Глпих). 
Несмотря на то что АпѕіЫе предназначен для развертывания задач в удаленных 
системах, упражнения здесь просто позволят поработать с файлом р!ауроок и не- 
сколькими командами в одной системе. Если затрудняетесь с решением заданий, 
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воспользуйтесь ответами, приведенными в приложении Б (хотя Глпих позволяет 
решать задачи разными способами). 


1. 
2; 


10. 


Установите АпѕіЫе в систему Еейога или КНЕГ. 


Добавьте привилегию команды ѕийо для того аккаунта, который будете исполь- 
зовать для выполнения этих упражнений. 


Создайте файл АпѕіЫе рІауђооК (назовите его ту _р1аубоок.уат1), который 
включает в себя следующее: 


- пате: Сгеафе меб зегуег 
һоѕіѕ: Іоса1һоѕі 


{а$К$: 
- пате: Тп$фа11 Ира 
учит: 
пате: Пра 


$фафе: ргезепЕ 


Запустите команду ап$161е-р1ауБоок в файле ту р1аубоок.уат1 в режиме про- 
верки, чтобы выяснить, нет ли проблем с заполнением ріаубооК (подсказка: 
есть). 


Измените файл ту_р1ауБоок.уат1 и повысьте привилегии, чтобы задачи запу- 
скались от имени суперпользователя. 


Запускайте ап$161е-р1ауБоок до тех пор, пока пакет НЕЕра не будет успешно 
установлен в системе. 


Измените файл ту_р1ауБоок .уат1 снова, чтобы запустить службу һ++ра и уста- 
новить ее так, чтобы она запускалась каждый раз при загрузке системы. 


Запустите команду апѕіб1е, которая проверяет, работает ли служба һ++ра на 
хосте Іоса1ћоѕї. 


Создайте файл іпадех .һёт1, содержащий текст @меб зегуег 1$ ир@, и примените 
команду апѕіб1е, чтобы скопировать этот файл в каталог /маг/мим/ Вт]. на хосте 
1Тоса1по$+. 


Используйте команду сиг1 для просмотра содержимого файла, который вы 
только что скопировали на веб-сервер. 


Развертывание 
приложений в контейнеры 
с помощью кластера 
Кирегпеѓеѕ 


В этой главе 


ш Что такое Кибегпеѓеѕ. 

ш Работа с Кибегтеѓеѕ. 

и Запуск Кибегпеѓеѕ Васѕісѕ. 
ш Кибегпеїеѕ и ОрепЅһі. 


Контейнеры Піпих отделяют свои приложения от операционных систем, в которых 
работают. Правильно построенный контейнер будет содержать дискретный набор 
программного обеспечения, который можно транспортировать и эффективно за- 
пускать. Но на этом история не заканчивается. Настроив несколько контейнеров, 
необходимо задействовать их на такой платформе, как КиБегпеѓеѕ, которая позво- 
ляет осуществлять следующее. 


® Группировать наборы контейнеров, чтобы сформировать более крупное при- 
ложение. Например, можно развернуть совместно веб-сервер, базу данных 
и средства мониторинга. 


® Масштабировать контейнеры по мере необходимости. На самом деле должна 
быть возможность масштабировать каждый компонент более крупного прило- 
жения индивидуально, не затрагивая все сразу. 


® Устанавливать состояние приложения, а не просто запускать его. Это означает, 
что вместо того, чтобы просто запустить контейнер, вы можете сообщить систе- 
ме: «Запустите три копии контейнера Х и, если одна из них выйдет из строя, 
обязательно запустите другую на замену». 
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® Восстановить систему после того, как хост-компьютеры вышли из строя или 
перегрузились. Если хост, на котором запущен контейнер, выходит из строя, 
необходимо, чтобы контейнер быстро восстановился и запустился на другом 
хост-компьютере. 


® Не волноваться по поводу инфраструктуры. Приложение подключается к нуж- 
ным ему службам, и ему нет необходимости знать имена хостов, [Р-адреса или 
номера портов, связанные с этими службами. 


® Обновлять свои приложения контейнеров без задержки работы. 


Платформа КиБегпеез выполняет все эти и многие другие функции. Ранее на 
рынке имелись и другие платформы для оркестрации контейнеров, например 
Меѕоѕ и ОосКег Ѕуагт, однако КиБегпеїеѕ стал бесспорным лидером в оркестрации 
и развертывании контейнерных приложений, а также управлении ими. 

В этой главе мы познакомимся с платформой КиБегпеѓеѕ и платформой 
корпоративного качества КиБђегпеѓеѕ под названием Ореп5 №. Лучший способ 
изучить Кирегпейез — запустить кластер Кифегпебез и выполнить команды раз- 
вертывания контейнерного приложения. Перед этим необходимо понять, что 
такое кластер Киђегпеќеѕ и какие компоненты нужны для развертывания при- 
ложения в нем. 


Что такое Кибегпеѓеѕ 


Кластер Киђетеіеѕ состоит из главного и рабочего узлов. Вы можете запускать все 
основные и рабочие службы в одной системе для личного применения. Например, 
с помощью Міпікиђе, как описано далее в этой главе, можно запустить кластер 
КиБегпе(е$ с виртуальной машины на своем ноутбуке (кибегпеїеѕ.іо/аосѕ/ќаѕКѕ/ї00/5/ 
іпѕаІ-тіпікибе). 

В производственной среде Киђегпеѓеѕ распространяется на несколько физиче- 
ских или виртуальных систем. Перечислю различные компоненты, о которых не- 
обходимо помнить при создании производственной инфраструктуры Киђегпеѓеѕ. 


ө Мастер КиђБегпеѓеѕ. Главный узел, мастер (таѕѓег по4е), управляет компонен- 
тами, работающими в кластере КиБбегпеѓеѕ. Он управляет связью между компо- 
нентами, планирует запуск приложений на рабочих станциях, масштабирует 
приложения по мере необходимости и следит за тем, чтобы работало нужное 
количество контейнеров, распределенных в плодах (род). У вас должен быть по 
крайней мере один главный узел, но обычно их три или более. Это нужно для 
того, чтобы всегда был доступен по крайней мере один мастер. 


® Рабочие узлы. Рабочий узел (\могкег по4е) — это место, где фактически вы- 
полняются развернутые контейнеры. Количество рабочих узлов зависит от не- 
обходимой нагрузки. Для производственной среды, скорее всего, понадобится 
более одного рабочего узла на случай, если один из них выйдет из строя или ему 
потребуется техническое обслуживание. 
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® Хранилище. Сетевое хранилище, которое позволяет контейнерам получать до- 
ступ к одному и тому же хранилищу независимо от узла, который их запускает. 


® Другие службы. Чтобы интегрировать среду КиБегпеѓеѕ в существующий центр 
обработки данных, вам может потребоваться подключиться к существующим 
службам. Например, вы, вероятно, будете задействовать О№Ѕ-сервер компа- 
нии для разрешения адресов на хосте, службу ГОАР или Асиуе Юігесіогу для 
аутентификации пользователей и сервер МебуогКк Тіте Ргобосо| (ЧТР) для син- 
хронизации времени. 


В Кирегпебез самый маленький модуль, с помощью которого можно развернуть 
контейнер, называется подом (рой). Модуль может содержать один или несколько 
контейнеров, а также описывающие их метаданные. Под может содержать только 
один контейнер (иногда — и более одного). Например, в модуле может содержаться 
4есаг-контейнер, предназначенный для мониторинга службы, работающей в ос- 
новном контейнере пода. 


Мастер-узлы 


Мастер-узел Кибегпеќеѕ управляет деятельностью кластера КиБегпеќеѕ. Мастер- 
узлы контролируют всю его деятельность с помощью набора служб. Центральным 
элементом мастера Киђегпеѓеѕ является АРІ-сервер (кибе-аріѕегуег), который 
принимает объектные запросы. Связь между всеми узлами кластера поддержива- 
ется через сервер АРІ. 

Когда мастер КиБегпеќеѕ получает объект, например запрос на запуск опреде- 
ленного количества модулей, планировщик Киђегпеѓеѕ (кибе-ѕсһейџи1ег) находит 
доступные узлы для запуска каждого модуля и планирует их запуск на этих узлах. 
Чтобы убедиться, что все объекты остаются в заданном состоянии, контроллеры 
Кирегпебе$ (кибе- сопёго11еѓ-тапавег) работают непрерывно. Они проверяют, что 
пространства имен существуют, определенные учетные записи служб доступны, 
нужное количество реплик запущено и определенные конечные точки активны. 


Рабочие узлы 


В основе каждого рабочего узла Киђегпеїеѕ лежит служба КиБеІеѓ. Она регистри- 
рует свой рабочий узел на сервере АРІ. Затем сервер АРІ направляет КкиђБееё вы- 
полнять запуск контейнера, который запрашивается с сервера АРІ через РоЧЗрес, 
и убедиться, что он исправен и продолжает работать. Другая служба, которая 
работает на каждом узле, — это среда контейнеров (соп{атег епеіпе, гиийте). 
Первоначально служба досКег была самой популярной средой контейнеров, 
используемой для запуска контейнеров, управления ими и их удаления в соот- 
ветствии с требованиями Ро4Зрес. Однако теперь доступны и другие среды, на- 
пример СКІ-О (сгі-о.іо), которая применяется с коммерческими платформами 
КиБегпебез, такими как Ореп$ М. 
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Рабочие узлы должны быть как можно более универсальными, чтобы их мож- 
но было просто развернуть на новом узле, когда потребуется дополнительная 
емкость, и он был бы настроен для обработки большинства запросов на запуск 
контейнеров. Однако есть способы, при которых контейнер может не подойти для 
запуска на определенном узле. Допустим, модуль может запросить запуск на узле, 
имеющем минимальный объем доступной памяти и процессора, или он может 
запросить запуск на узле, на котором работает связанный контейнер. Точно так 
же, если для запуска модуля требуется что-то особенное, например определенная 
компьютерная архитектура, аппаратное обеспечение или операционная система, 
существуют способы планирования модулей для рабочих узлов, которые отвечают 
этим потребностям. 


Приложения Кибегпеќеѕ 


В КиБегпеќеѕ приложения управляются путем определения объектов АРТ, кото- 
рые задают состояние ресурсов в кластере. Например, вы можете создать в файле 
ҮАМІ. объект Бер1оутеп*, определяющий модули. Каждый из таких модулей за- 
пускает один или несколько контейнеров, а также пространство имен и количество 
гер1ісаѕ каждого модуля. Этот объект также может определять открытые порты 
рогіѕ и любые тома мо1ите$, смонтированные для каждого контейнера. Мастер- 
узлы Кирегпее$ отвечают на такие запросы и следят за тем, чтобы они выполнялись 
на рабочих узлах Киђегпеќеѕ. 

Кирегпеѓеѕ использует концепцию служб, чтобы отделить местоположение при- 
ложения от его фактического ТР-адреса и номера порта. Имя службы для набора 
модулей, предоставляющих эту службу, не должно раскрывать точное местопо- 
ложение каждого модуля и быть известным за пределами кластера. Вместо этого 
Киђегпеѓеѕ направляет запрос на нужную службу в доступный модуль. 

ТР-адреса, связанные с активными модулями, по умолчанию не могут быть 
напрямую направлены извне кластера. Вы сами должны определить, как хоти- 
те предоставить доступ к службе, связанной с набором модулей за пределами 
кластера. Используя объект Зегу1се, можно предоставлять службы различными 
способами. 

По умолчанию предоставление службы через С1иѕ+егІР и службу +уре делает ее 
доступной только для компонентов кластера. Чтобы предоставить доступ к служ- 
бе за пределами кластера, вы можете использовать сервис Мо4еРогё, который 
создает модуль службы и делает его доступным через один и тот же назначенный 
КиБегпебе$ порт на внешнем ТР-адресе от каждого узла, на котором работает. 

Третий метод — применять Іоайва1апсег для назначения внешнего фиксиро- 
ванного ІР-адреса, который действует как балансировщик нагрузки для модулей, 
предоставляющих услугу. С помощью іоайВа1апсег внешний балансировщик 
нагрузки облака направляет трафик на серверные модули. Наконец, вы можете 
предоставить доступ к службе с помощью Ех%егпа1Маме, который связывает службу 
с определенной записью ОМ$ СМАМЕ. 
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Независимо от того, как вы предоставляете доступ к службе КиБегпеѓеѕ, когда 
есть запрос на нее, КиБегпейез действует как маршрутизатор сообщений к набору 
модулей, которые предоставляют эту службу. Таким образом, поды (модули) могут 
подниматься и опускаться, не нарушая работу клиентов, использующих службу. 


Интерфейсы Кирегпеїеѕ 


КиБегпеез$ имеет интерфейсы командной строки и веб-консоли для доступа к кла- 
стеру КиБегпебез. В этой главе представлены примеры инструментов командной 
строки. Команды — это тіпікибе, которая используется для управления виртуаль- 
ной машиной Кирегпеез и перевода кластера вверх и вниз, и кибес+1 — универ- 
сальный инструмент управления кластером КиБегпебез. 


Начало работы с Кибегпеѓеѕ 


Поскольку создание собственного производственного кластера КиБегпеѓеѕ требует 
определенной предусмотрительности, в этой главе мы сосредоточимся на не- 
скольких простых способах быстрого запуска персонального кластера Кирегпеез 
и доступа к нему. В частности, вот способы получить доступ к кластеру Киђегпеѓеѕ. 


® Сайт КиђБегпеќеѕ Тибопа[$. Официальный сайт Киегпеез предлагает интер- 
активные учебные материалы с веб-интерфейсом, где вы можете запустить 
собственный кластер и попробовать работу Кибегпебез. В КиБегпебез Тибота[$ 
(кибегпеїеѕ.іо/аосѕ/иќогіа[ѕ) рассматриваются основные темы, а также конфигура- 
ция, ѕСаїе[еѕѕ-приложения и др. 


е Міпікиђе. С помощью инструмента Міпікиђе можете запускать Киђегпеѓеѕ на сво- 
ем компьютере. Система Глпих, тасО$ или \Лпао\уз, которая способна запускать 
виртуальные машины, может запустить виртуальную машину Міпікиђе и кластер 
КоиђБегпеѓеѕ на ноутбуке или настольной системе в течение нескольких минут. 


ө ПОоскег ОезКбор. Другой вариант (в книге не рассматривается) — это приложение 
Поскег ОезК®ор, которое позволяет включить предварительно настроенный кла- 
стер КиБегпеѓеѕ, который запускает главный и рабочий узлы на рабочей станции. 


Перед тем как начать, я расскажу о некоторых руководствах Киђегпеѓеѕ и объ- 
ясню их основные концепции. Вы можете следовать инструкциям, приводимым 
в руководстве, или выполнять те же команды на собственной системе Міпікиђе. 
Далее я опишу, как получить доступ к кластеру КиБегпеѓеѕ одним из двух способов. 


ПРИМЕЧАНИЕ 


Если у вас подключена среда Ореп5 К, вы также можете выполнить большинство этих действий в Ореп5 К. 
В большинстве случаев можно применить команду кибесії, но обычно ее параметры и аргументы могут исполь- 
зоваться командой ос в Ореп5 И. 
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Доступ к кластеру Кибегпеќеѕ 


Далее я расскажу, как получить доступ к кластеру КиБегпеѓеѕ либо через руковод- 
ство Кирегпебез, либо установив и запустив Міпікиђе. 


Доступ с помощью руководства 


Чтобы запустить интерактивное руководство Киђегпеѓеѕ, перейдите в браузере на 
страницу Кибегпеїеѕ.іо/аосѕ/иѓогіаіѕ/кирегтеѓеѕ-баѕісѕ/сгеаїе-сіиѕїег/сіиѕїег-іпіегасме. 
На рис. 30.1 показано начало обучения основам КиђБегпеѓеѕ. 


< > С а ыбетаена/восзлилонайкибчитьмез Баз /сгозте-сшдег/сизцег-куегасиие/ п 9 


= [= киБегпебеѕ Оосителаіоп Вюд Райпегз Сотитипйу Саѕе Зе Егіѕћ ~ 1.17 ~ 


Іпїегасііуе Тиќогіа! - Сгеаїіпд а Си${ег 


ҮеІсотпе! 


Моше 1 - Сгеа{е а Киђегпеѓеѕ саз{ег 


Ж Опсину: Ведіппег © Езитаеа Тіте: 10 тіпиез 


Тпе оа! о? {и Іпќегасуе эсепапо іѕ © деріоу а юса! йеуеіортепї Кирегпеќеѕ 
сіџеќег иѕіпе тіпікире 


Тре огііпе (егтіта! ів а рге-сопіфигей лих епуіғоптепі (ћа! сап Бе 524 а3 а герцаг сопзое (уси сал (уре соттатів). 
Сііскіпа оп ће БЛосКк$ ої? собе їоћомехі Ьу 1ле ЕМТЕВ зіёл мі ехесийе Шах соттал іп ће бегтпіпаі. 


Ка{а‹ода 


Рис. 30.1. Пошаговое руководство Кирегпеќѓеѕ 


На этом этапе вы можете следовать инструкциям, данным в руководстве. 
Поскольку в руководстве запускается живой кластер, можно использовать этот 
интерфейс и для других команд. 


Запуск МпиБе 


Для запуска МіпікиђБе на персональном компьютере требуется выполнить несколь- 
ко действий. 


® Компьютер нужно настроить как гипервизор, чтобы он мог запускать виртуаль- 
ные машины Міпікиђе. 
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® Необходимо установить команду Ккибес1 (используется для доступа к кластеру 


и работы с ним) и саму виртуальную машину МіпікиђБе. 


Чтобы получить инструкцию по установке для систем Глпих, тасО$ и \\п4о\5, 


перейдите на страницу Кибегпеќеѕ.іо/ӣосѕ/ќаѕКѕ/ооі/іпѕа!і-тіпікирбе. 


Вы можете установить МшикиБе от имени суперпользователя, но позже его 


нужно будет запустить из обычной учетной записи пользователя. Установка 
Міпікиђе в Еедога, КНЕТ., ОБипеи или другую систему Глпих (обратитесь к спра- 
вочной странице іпѕёа11-тіпікибе, если что-либо в установке изменилось) вы- 
полняется так. 


1. 


Установите пакет команды КиБесй. Установите ту версию команды Кибес+1, 
которая соотносится с версией КиБегпеѓеѕ в вашей системе МіпікиБе. Последние 
версии команд Кибес+1 и тіпікиђбе отслеживают обновления. Введите следующее 
(все в одной строке): 

# сиг1 -10 \ 

ИЕЕр$ : //ѕіогаре . 50051еар1$ . сот/Кибегпефе$ -ге1еазе/ге1еазе/ `сиг1 \ -5 


ИЕЕр$ : //ѕіогаре . 50051еар1$ . сот/Кибегпефе$ -ге1еазе/ге1еазе/ $х+аб1е.+хе \ `/ 
ріп/1іпих/атӣ64/Ккибес&1 


Скопируйте КиђБесі в каталог Ыр. Скопируйте команду Кибес+1 в доступный 
каталог Біп и сделайте ее исполняемой, например: 


# пкаіг /иѕг/1оса1/біп 
# ср Ккирес+1 /иѕг/1оса1/біп 
# сһтоа 755 /иѕг/1оса1/ріп/Кирес+1 


Настройте гипервизор. Настройте свою систему Глпих как гипервизор. Для 
КУМ выполните действия, описанные в подразделе «Настройка гипервизоров» 
в главе 27. 


Загрузите команду тіпікиђе. Загрузите исполняемый файл тіпікиђе и введите 
следующее (в одной строке): 


# сиг1 -Ёо тіпікибе \ 
ИЕЕр$ : //ѕіогаре . воов1еаріѕ . соп/тіпікире/ге1еаѕеѕ/1афеѕ+/тіпікиђбе1іпих-атӣ64 
\ && сһтоа +х міпікиђе 


Установите Міпікиђе. Введите следующее: 
# 1154а11 тіпікиђе /иѕг/1оса1/біп/ 


Запустите Міпікиђе. От имени обычного пользователя введите следующие ко- 
манды для идентификации драйвера, если задействуете гипервизор КУМ (если 
у вас другой гипервизор, см. страницу тіпікибе.ѕід.К85.іо/ӣ0с5/ геѓегепсе/гіуегѕ): 


$ міпікибе соп+ір зе ут-аг1уег Кут2 
$ тіпікире ѕ&аг --ут-дг1\уег=К\ут2 


Начните использовать Міпікиђе. Теперь можно начать применять Міпікиђе, 
выполнив команды тіпікибе и кирес+1. Далее рассмотрим, как это сделать. 


30 
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Запуск руководства Кибетее$ Ваѕісѕ 


Руководство Кирегпеез Ваѕісѕ описывает набор команд, с помощью которых на- 
чинается знакомство с КиБегпеѓеѕ: киБбегее5./о/аос$/кикона!/киБегпее5-Баз!с$/сгеа"е- 
аи$&ег/иег-п\(егасНуе. 

Далее мы познакомимся с первыми пятью модулями руководства Кибегпебеѕ 
Ваз1сз. 

Если используете интерактивную систему непосредственно со страниц руко- 
водства Киђегпеѓеѕ, продолжайте там же и запустите Міпікиђе (тіпікибе ѕ+аг+). 
Если вы задействуете Міпікиђе с виртуальной машины, уже работающей на ноут- 
буке, также можете выполнить следующие шаги, так как оба варианта применяют 
Міпікиђе. 


Информация о кластере 


Запустите следующие команды, чтобы получить основную информацию о своем 
кластере. 


1. Версия Міпікиђе. Чтобы узнать версию тіпікибе, введите следующее: 


$ міпікиђбе уег$1оп 
тіпікибе уег$1оп: \№1.7.2 
соттії: 50454365+с69е1с047с2761398а9а979@а+е9ачь 


2. Информация о кластере. Чтобы увидеть О ВТ--адрес, с которого доступны 
службы Кирегпеёез тазег и О№5, введите следующее: 


$ кибес+1 с1иѕ+ег-іпғо 

Кирегпеъеѕ тазфег 1$ гиппіпе аё Ир$://192.168.39.150:8443 
Кирерм№мѕ 1$ гипп1пё а 
ВЕЕр$://192.168.39.150:8443/ар1/\1/патезрасез/Кибе-зуз{ет/ 
ѕегмісеѕ/Кире-ӣпѕ :ап$/ргоху 

То ҒигЕһег аебив апа аіарпоѕе с1и5ег ргоб1етѕ, иѕе 
'КибесЕ1 с1иѕёег-іпғо аитр'. 


3. Информация об узлах. Чтобы увидеть количество запущенных узлов (в Міпі- 
КиБе только один мастер-узел) и их состояние, введите следующее: 


$ КибесЕ1 ре подеѕ 
МАМЕ ЅТАТОЅ КОГЕ$ АСЕ \УЕК$ТОМ 
тіпікибе Веаду тазфег 23м  \1.17.2 


4. Версии кластера и клиента. Чтобы перечислить версии клиента КиБес+1 и кла- 
стера КиБегпеѓеѕ (и убедиться, что они находятся в пределах одной версии), 
введите следующее: 


$ КибесЕ1 мегѕіоп 

С11еп{ Мегѕіоп: мег$1оп.Тифо{Ма]ог:"1", М1пог: "17", 
СіїМегѕіоп: "\1.17.2", 

61ЕСотм1* : "59603с6е503с87169аеа6106+5769+242+644+89" , 
СіёТгееѕ+а+е: "с1еап", Виі1ара+е:"2020-01-18723:30:102", 
бо\ег$1оп:"201.13.5", Сотрі1ег: "вс", Р1а+Ғогт: "1іпих/атаб4" } 
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5егуег Мегѕіоп: мег$1оп.Тифо{Ма]ог:"1", М1пог: "17", 
СіёМегѕіоп: "\1.17.2", 

СіїСотті+ : "59603с6е503с87169аеа6106+5769+242+644+89" , 
СіёТгееѕ+а+е: "с1еап", Виі1ара+е:"2020-01-18723:22:302", 
СоМегѕіоп:"ро1.13.5", Сотрі1ег: "вс", Р1а+Ғогт: "1іпих/атаб4" } 


Развертывание приложения Кибегпеѓеѕ 


Запросы на запуск контейнерных приложений (в виде подов) и управление ими 
в кластере Кирегпеѓеѕ называются развертыванием. После создания развертывания 
кластер Кибегпее$ должен убедиться, что запрошенные поды всегда работают. 
Делает это он так: 


готовится к созданию развертывания через сервер АРТ; 


запрашивает у планировщика запуск необходимых контейнеров из каждого 
пода на доступных рабочих узлах; 


наблюдает за подами, чтобы убедиться, что они продолжают работать в соот- 
ветствии с запросом; 


запускает новый экземпляр пода (на том же или другом узле) в случае сбоя 
модуля (например, если контейнер перестает работать). 


Далее показан пример создания простого развертывания из образа контейнера. 


В этом примере вы просто даете ему имя и определяете образ контейнера. Осталь- 
ные параметры развертывания заполняются из значений по умолчанию. 


1. 


Создайте развертывание. Чтобы запустить развертывание, которое извлекает 
контейнер Ккибегпеќеѕрооїсатр с именем развертывания Кибегпее$ Боо*сатр, 
введите следующее: 

$ Ккибес+1 сгеафе дер1оутепе КиБегпефе$-Боофсатр \ 


- -1таре=8сг.10/50051е-затр1е5/КиБегпе*е$ -Боо*%сатр: \1 
Яаер1оутеп+ . аррѕ/ кибрегпе+еѕ-брооёсатр сгеа%еа 


Перечислите развертывания. Чтобы убедиться, что развертывание существует 
(а также имеет один запрошенный инстанс и один запущенный), введите сле- 
дующее: 

$ Ккирес+1 веф дер1оутепе$ 


МАМЕ КЕАБУ ОР-ТО-РАТЕ АМАТІАВІЕ АСЕ 
кибегпеёеѕ-брооёсамтр 1/1 1 1 41385 


Просмотрите сведения о развертывании. Чтобы просмотреть подробные све- 
дения о развертывании, введите следующие данные: 
$ Ккибес+1 ӣеѕсгіре ӣер1оутеп+ѕ Кирегпеёеѕ-рооїсатр 


Маме: Кибегпефе$ -Боо{сатр 
Матеѕрасе: аеҒаи1+ 


ҜВер1ісаѕ: 1 4ез1геа | 1 ирдафеа | 1 +о+а1 | 1 ахаі1аб1е | 9 
ипауа11аб1е 
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Роа Тетр1а*е: 
Габре15: арр=Кибегпеёеѕ-бооёсатр 


СопЁаіпегѕ: 
Кибегпефе$ -Боо{сатр: 
Ітаре: 5сг.10/50051е-затр1ез /Кибегпе{е$ -Боо{сатр : \1 
Рогі: <попе> 
Ноѕ& Рогі: <попе> 
Епуігоптепё: «попе» 
Моипїѕ: <попе> 
\Мо1ите$ : <попе> 


В развертывании Кибегпеез-Боо{сатр обратите внимание на то, что устанавли- 
вается один инстанс (гер11са) модуля, связанного с развертыванием. Развертыва- 
ние выполняется в текущем пространстве имен, которое имеет значение деҒаи1+. 
Обратите внимание также на то, что для модулей по умолчанию не открыты порты 
и не смонтированы тома. 


Информация о подах (модулях) развертывания 


После выполнения развертывания вы можете запросить информацию о созданном 
из него поде и предоставить АРТ Кирегпеез виртуальной машины своей локальной 
системе через прокси-службу. 


1. Предоставьте доступ к АРІ Киђегпеѓеѕ локальной системе. Чтобы открыть 
прокси-сервер из вашей системы к АРТ КиБегпеќеѕ, работающему в Міпікиђе 
(кибес+1 ргоху), введите следующее: 


$ кирес+1 ргоху 
Ѕагііпв фо ѕегуе оп 127.0.0.1:8001 


2. Запросите АРІ Киђегпеѓеѕ. Откройте второй терминал и запросите АРІ Кирег- 
пеѓеѕ, работающий на МшикиВе, введя следующее: 


$ сиг1 Ир: //1оса1һоѕі : 8001 /мег$1оп 
{ 
"мајор": "1", 
"міпог": "17", 
"віїМегѕіоп": "1.17.2", 
"ріїСотті+": "59603с6е503с87169аеа6106+5769+242+64а+89" , 
"віїТгееѕ+афе": "с1еап", 
"риі1ара+е": "2020-01-18723:22:302", 
"воМегѕіоп": "ро1.13.5", 
"сотр11ег": "ес", 
"р1аЕФогт": "1іпих/атаб4" 


3. Запросите информацию о поде. Имя модуля, используемого в этом разверты- 
вании, — это кирегпе+еѕ-бооїёсатр, за которым следует уникальная строка сим- 
волов. Введите команды, приведенные далее, чтобы вывести имя пода, а затем 
перечислить описание этого модуля: 
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$ Кибес+1 реф родѕ 


МАМЕ КЕАОУ ЅТАТОЅ КЕЅТААТЅ АСЕ 
кибегпееѕ-Ббооёсатр-69#Ыс6#4с#-пјс46 1/1 Киппіпе ө 12т 
$ Кибес+1 аеѕсгіре ро Ккибегпеъеѕ-бооёсатр-69#6сб6#4с#-пјс4Ь 

Маме: кибегпеёеѕ -брооёсатр-69#6с6+#4с#-пјс46 

Матеѕрасе: аеҒаи1+ 

Ргіогі+у: е 

№оде: тіпікибе/192.168.39.150 

Сопёаіпегѕ: 


кибегпе+еѕ -БрооЁсатр: 
Сопёаіпег 1р: 
аоскег: / /аа24+а43ҒҒ19а6сҒ#12#+5с759036сее74аас+2аде2с55а42е... 


Ітаре: 5сг.10/50051е-затр1ез /Кибегпе{е$-Боо{сатр : \1 
Тпаёе ТО: аоскег-ри11аБ1е: / /есг.іо/роор1е-ѕатр1еѕ... 
Еуепт5 : 
Туре Кеаѕоп Аве Егот Мез5аде 


Могта1 Ѕсһеаи1еа 14т  дефаи1*-зспеди1ег Ѕиссеѕ5#и11у аѕѕівпеа 
ефаи1+/Кибегпефе$ -Боо{сатр-6916с614с+-п]с46 фо тіпікибе 

Могта1 Ри11еа 14т Кире1е+, тіпікире Сопфа1пег ітаре 
"всг.іо/роор1е-ѕатр1еѕ/ кирегпеъеѕ -Боо{сатр:\1" 
а1геайу ргезепЕ оп тасһіпе 


Могта1 Сгеа+еа 14т кире1её, тіпікире Сгеафед сопёаіпег 
Кибегпефе$ -Боо{сатр 
Могта1 Ѕ+аг+еа 14т Кибе1еф, тіпікире Ѕ+&аг+еа сопфалпег 


Кибегпефе$ -Боо{сатр 


В выходных данных в примере видны имя пода, пространство имен, в котором 
он находится (де+аи1*), и узел, на котором работает (тіпікибе/192.168.39.150). 
В разделе Сопёаіпегѕ содержатся имя запущенного контейнера (доске: // 
424+ 443+41...), образ, из которого он получен (.. .кирегпетеѕ-Бооїсатр:у1), 
и идентификатор образа для него. В разделе Емепёѕ, начиная снизу, вы може- 
те увидеть киБе1е* на узле тіпікибе, который запускает и создает контейнер. 
Он проверяет образ и обнаруживает, что тот уже находится на узле. Затем он 
назначает модуль для запуска на этом узле. 


Подключитесь к поду. Используйте команду сиг1, чтобы связаться с модулем 
и заставить его ответить на ваш запрос: 


$ ехрогф РОЮ МАМЕ=$(Ккибес+1 деф роаѕ -о ро-+етр1а+е --+етр1а+е \ 
'{{гапёе .1%ет$}}{{. теёааа+а.паме }}{{"\п"}}{{епа}}') ; \ 

есһо Мате о+ һе Ро: $РОЮ МАМЕ 

Мате оф һе Роа: кирбегпе+еѕ-бооёсатр-69#Ьс6#4с#-пјс46 


$ сиг1 \ 

һер: //1оса11о$* :8001/арі/у1/патеѕрасеѕ/деҒаи1+/роаѕ/$РОр_МАМЕ/ 
ргоху/ 

Не11о Кибегпефез$ Боо%сатр! | Киппіпе оп: кибегпеёеѕ -бооёсатр- 
5р48сҒасЬа-1#9+2 | у=1 


842 Часть МІ • Работа с облачными вычислениями 


5. Просмотрите журналы. Чтобы просмотреть журналы любого контейнера, ра- 
ботающего внутри выбранного модуля, выполните следующую команду 
$ Кибес+1 1085 $РОЮ МАМЕ 


Кирегпеъеѕ Воофсатр Арр Ѕ+аг+еа де: 2020-02-13721:29:21.8367 
| Киппіпе Оп: Кибегпефе$-Боо{сатр-5648с+асЬа-1+942 


Випп1пё Оп: Кирегпееѕ-бооёсатр-5648сҒасба-1#9+2 | Тофа1 Кедиеѕіѕ: 
1 | Арр Ор+іте: 34.086 ѕесопӣѕ | 1ов Тіте: 2020-02-13721:29:55.9232 


6. Выполните команды в поде. Используйте команду Кибес+1 ехес для запуска ко- 
манд внутри модуля. Первая команда запускает епу для просмотра переменных 
среды оболочки изнутри модуля, а вторая открывает оболочку внутри модуля, 
чтобы вы могли выполнить следующие команды: 


$ КибесЕ1 ехес $РОр МАМЕ епу 
РАТН=/иѕг/1оса1/5ріп: /иѕг/1оса1/біп: /иѕг/ѕріп: /иѕг/біп: /$61п: /біп 
НОЅТМАМЕ= кибегпе+еѕ -брооёсатр- 5648с+асба-1+#9+2 
КОВЕКМЕТЕЅ ЅЕАМІСЕ НОЅ5Т=10.96.0.1 

КОВЕКМЕТЕЅ ЅЕАМІСЕ РОКТ=443 


$ КибесЕ1 ехес -+і $РОр МАМЕ баѕћһ 
гоо+@кибегпееѕ-Ббооёсатр-5648с+Ғасба-1+9+2: /# дате 
Тһи Реб 13 21:57:18 ОТС 2020 


кибегпееѕ-рооёсатр-5648с+асба-1+9+2:/# рѕ -е+ 


ито РТО РРІЮ С 5ТІМЕ ТТУ ТІМЕ СМО 

гоо 1 0 0 21:29 ? 00:00:00 /Б1п/зП -с пое 
ѕегмег.јѕ 

гоо 6 1 Ө 21:29 ? 00:00:00 пое ѕегуег.јѕ 
гоо 115 09 Ө 21:55 ріѕ/0 00:00:00 Баѕһ 

гоо 123 115 Ө 22:01 ріѕ/0 00:00:00 рѕ -еғ 


гоо@кибегпееѕ-Бооёсатр-5648сҒасба-1+9+2: /# сиг1 1оса1һћоѕі :8080 
Не11о Кибегпефез бооёсатр! | Киппіпе оп: кирегпеёеѕ -рооёсатр-5648с+асра-1+9+2 | у=1 


гоо@кибегпееѕ-Бооёсатр-5648с+асба-1+9+2: /# ехії 


После запуска оболочки появляются выходные данные команд даќе и рѕ. 
Из вывода команды рѕ видно, что первый процесс, запущенный в контейнере 
(РТО 1), — это скрипт ѕегмег. јѕ. После этого команда сиг1 может успешно взаи- 
модействовать с контейнером на локальном порте 0808. 


Доступ к приложениям с помощью служб 


Чтобы предоставить доступ к модулю кибегпеѓеѕ -бооёсатр, описанному в при- 
мерах, с внешнего ІР-адреса рабочего узла, можно создать объект М№о4еРоге. Вот 
один из способов сделать это. 


1. Проверьте, работает ли под. Введите команду, приведенную далее, чтобы про- 
верить, что модуль Кибегпе*е$ брооёсатр запущен: 
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$ Кибес+1 ре роаѕ 
МАМЕ КЕАОУ ЅТАТОЅ КЕЅТААТЅ АСЕ 
Кибегпефе$ -Боо{сатр-7656+4с764-+9196 1/1 Киппіпе ө 26т 


Проверьте службы. Введите приведенные далее команды, чтобы увидеть служ- 
бы, работающие в пространстве имен де#аџ1+. Обратите внимание на то, что 
доступна только служба Кибегпеќеѕ и нет никакой службы, предоставляющей 
доступ к модулю кирегпе+еѕ -Боо{сатр за пределами кластера: 


$ Кибес+1 веф ѕегуісеѕ 
МАМЕ ТУРЕ СІОЅТЕК-ІР ЕХТЕАМАГ - ІР РОКТ (5) АСЕ 
кирегпе+еѕ С1иѕ+егіР 10.96.0.1 <попе> 443 /ТСР З1т 


Создайте службу. Создайте службу, которая использует МойерРогї, чтобы сде- 
лать под доступным с ІР-адреса на хосте по определенному номеру порта (8080). 
Например, введите команду 


$ Ккирес+1 ехроѕе ӣер1оутеп+/кирегпе+еѕ-Бооёсатр \ 
--+уре="М№оӣеРогі" --роге 8080 
ѕегуісе/Кибрегпееѕ-бооёсатр ехроѕеа 


Просмотрите новую службу. Введите приведенную далее команду, чтобы уви- 
деть ІР-адрес (10.96.66.230) и номер порта (8080), с которого служба становится 
доступной на хосте: 


$ Кирес+1 веф ѕегуісеѕ 


МАМЕ ТҮРЕ СІОЅТЕК-ІР ЕХТЕВМАЕ - ІР РОКТ (5) АСЕ 
кирегпе+еѕ С1иѕ+егІР 10.96.0.1 <попе> 443 /ТСР ЗЗт 
Кибегпефе-Боо{сатр МодеРогЕ 10.96.66.230 <попе> 8080:32374/ 

ТСР 55 

$ Кибес+1 аеѕсгіре ѕегуісеѕ/Киђрегпеёеѕ-Ббоосатр 

Маме: Кибегпефе$ -Боо{сатр 

Матеѕрасе: аеҒаи1+ 

Габе15: арр=Кибегпе+еѕ-брооёсатр 

Аппофа{1оп$: <попе> 

Ѕе1есіог: арр=Кибегпеёеѕ-брооёсатр 

Туре: М№МоаерРог+ 

ІР: 10.96.66.230 

Рогі: <ипѕеё> 8080/ТСР 

ТагреїРогі: 8080/ТСР 

МодеРог*: <ипѕеё> 30000/ТСР 

Епаро1п{$: 172.17.0.6:8080 

Ѕеѕѕіоп АҒҒіпі+у: №опе 


Ехфегпа1 Тга++1с Ро11су: С1иѕ+ег 


Назначьте порт для узла. Чтобы получить порт, назначенный службе, и уста- 
новить переменную $№00Е_РОКТ в это значение, введите следующее: 


$ ехрогф МОБЕ_РОВТ=$ (КиБес1 ре ѕегмісеѕ/Ккирегпееѕ-рооЁсатр \ 
-о 20-Фетр1афе='{{(1п4ех .ѕрес.рогіѕ 0).подеРог*}}') 

$ есһо МОБЕ_РОВТ=$МОБЕ_РОВТ 

МОРЕ _РОКТ=30000 


30 


844 Часть МІ » Работа с облачными вычислениями 


6. Проверьте доступ к службе. Чтобы убедиться, что служба доступна из 
Мо4еРог, используйте команду сиг1 (применив ІР-адрес для своего инстанса 
Мшщаье): 


$ сиг1 $(тіпікире ір) :%М№ОрЕ РОВТ 
Не11о Кибегпефе$ Боофсатр! | Киппіпе оп: кирегпееѕ -брооёсатр- 
7656+4с764-+9196 | у=1 


Метки для службы 


Описанный далее процесс используется для добавления метки к существующей 
службе. 


1. Проверьте метку пода. Пока что кибегпееѕ -брооёсатр — это единственная 
метка, присвоенная модулю. Чтобы убедиться в этом, введите следующее: 


$ КибесЕ1 деѕсгіре дер1оутеп* 


Мате : Кибегпефе$ -Боо{сатр 

Матеѕрасе: аеҒаи1+ 

СгеатіопТітеѕ+атр : Егі, 14 Ееб 2020 05:43:49 +0000 
Габе15: гип=Ккирегпе+еѕ -бооёсатр 

Аппо+а+іопѕ: аер1оутеп+ . Кибегпе*е$ .1о/ге\1$1оп: 1 


2. Добавьте другую метку. Чтобы у модуля появилась еще одна метка (\1), полу- 
чите имя пода и добавьте ее следующим образом: 


$ ехрогі РОР МАМЕ=$(Ккирес+1 реф ро4$ -о ро-+етр1а+е --ёетр1а+е \ 
'"{{гапре .1%ет$}}{{. теёааа+а.пате }}{{"\п"}}{{епа}}') ; \ 

есһо Мате о+ &һе Ро: $РОЮ МАМЕ 

Мате оф Не Роа: Кибегпе+еѕ-рооёсатр-7656+#4с764-#196 


$ КибесЕ1 1абе1 роа $РОр МАМЕ арр=\1 
роа/Кирегпе+еѕ -Боо%*сатр-7656+4с764-+9196 1абе1еа 


3. Проверьте метку и используйте ее. Убедитесь, что метка \1 назначена поду, 
а затем примените ее для отображения информации о нем: 


$ КибесЕ1 деѕсгіре роӣѕ $РОЮ МАМЕ 


Мате : Кибегпефе$ -бооёсатр-7656#4с764-#4196 
Матеѕрасе: аеҒаи1+ 

Ргіогі+у: е 

№ае: тіпікибе/172.17.0.62 

Ѕ+агі Тіме: Егі, 14 Ееб 2020 05:44:08 +0000 
Габе15: арр=\1 


роа-+етр1а+е-һаѕһ=7656#4с704 
гип=кибегпеёеѕ -Боо{сатр 
$ КибесЕ1 реї ройѕ -1 арр=\1 


МАМЕ КЕАрҮ $ТАТУ$ КЕЅТАКТЅ5 
АСЕ 
кибегпееѕ-рооёсатр-7656#4с764-#4196 1/1 Киппіпе Өө 


бӨт 
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Удаление службы 


Если вы закончили пользоваться службой, ее можно удалить. Следующий процесс 
удаляет доступ к службе из порта узла, но не удаляет само развертывание. 


1. Проверьте службу. Убедитесь, что служба кибегпе+еѕ -рооёсатр все еще суще- 
ствует: 


$ Кирес+1 реф ѕегуісеѕ 


МАМЕ ТУРЕ СІОЅТЕК-ІР ЕХТЕКМАЕ-ТР РОКТ(5) 
АСЕ 

кибегпе+еѕ С1иѕЁегїІР 10.96.0.1 <попе> 443/ТСР 
63т 

Кибегпефе-Боо{сатр МодеРогЕ 10.96.66.230 <‹попе> 8 Ө80:32374/ 
ТСР ЗӨт 


2. Удалите службу. Используя имя метки, удалите службу: 


$ Ккирес+1 е1е+е зегу1се -1 гип=КиБегпе*е$ -Боо%сатр 
ѕегуісе "Кибегпе*е$-Боо*сатр" Яе1е+еа 


3. Проверьте службу и развертывание. Убедитесь, что служба удалена, но раз- 
вертывание на месте: 


$ Кирес+1 ре ѕегуісеѕ 


МАМЕ ТҮРЕ СІОЅТЕК-ІР ЕХТЕВМАЕ - ІР РОАТ(5) 
АСЕ 

кирегпе+еѕ С1иѕТегїР 10.96.0.1 <попе> 443 /ТСР 
64т 

$ Кибес+1 реф дер1оутепе 

МАМЕ КЕАОУ ОР-ТО-РАТЕ АМАТІАВІЕ АСЕ 
Кибегпефе$-Боофсатр 1/1 1 1 65т 


Масштабирование приложения 


Одна из самых мощных функций Киђегпеїеѕ — его способность масштабировать 
приложение по мере необходимости. Этот процесс начинается с развертывания 
кибегпеќеѕ -Боо+сатр, которое запускает один модуль и масштабирует его, чтобы до- 
бавить дополнительные модули, работающие с использованием функции Керйса5её 
и других средств предоставления приложению внешнего доступа. 


1. Найдите развертывание. Перечислите информацию о развертывании Аибет- 
пеѓеѕ-Бооѓсатр и обратите внимание на то, что оно настроено на активацию 
только одного набора реплик (гѕ): 


$ Ккирес+1 веф дер1оутеп+ѕ 


МАМЕ КЕАБУ ОР-ТО-РАТЕ АМАТІАВІЕ АСЕ 
кибегпеёеѕ-брооёсамтр 1/1 1 1 1075 

$ Кибес+1 ре г$ 

МАМЕ рЕЅІКЕр СОКАЕМТ КЕАОУ АСЕ 


Кибегпефе$-Боо{сатр-5648с+асба 1 1 1. 3т4$ 
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2. Масштабируйте реплики. Чтобы масштабировать развертывание до четырех 
наборов реплик, введите следующее: 


$ КибесЕ1 ѕса1е 4ер1оутепе$ /Кибегпефе$-Боофсатр --гер11са$=4 
дер1оутеп{ .ехеп$1оп$/Кибегпефе$-Боофсатр ѕса1еа 


3. Проверьте новые реплики. Перечислите развертывания, чтобы убедиться, что 
теперь все четыре реплики готовы и доступны: 
$ КибесЕ1 веф аер1оутепіѕ 


МАМЕ КЕАОУ ОР-ТО-РАТЕ АМАТІАВІЕ АСЕ 
кибегпеёеѕ-рооёсамтр 4/4 4 4 81445 


4. Проверьте поды. Теперь должны быть запущены четыре модуля Кибегпетез - 
роо+сатр, каждый с собственным ТР-адресом внутри кластера. Чтобы убедиться 
в этом, введите следующую команду: 


$ КибесЕ1 реї ройѕ -о м1ае 


МАМЕ КЕАОУ ЗТАТУ$ КЕЗТАВКТ$5 АСЕ ТР 
МОРЕ МОМІМАТЕР МОБЕ КЕАОТМЕ$$ САТЕЅ 

кибегпееѕ-бооёсатр-564... 1/1 Киппіпе Өө 81435 172.18.0.4 
тіпікибе <попе> <попе> 

кибегпееѕ-рооёсатр-564... 1/1 Киппіпр Өө 125 172.18.0.8 
тіпікибе <попе> <попе> 

кибегпееѕ-бооёсатр-564... 1/1 Киппіпе Өө 125 172.18.0.6 
тіпікибе <попе> <попе> 

кибегпееѕ-брооёсатр-564.. 1/1 Киппіпр Өө 125 172.18.0.7 
тіпікибе <попе> <попе> 


5. Просмотрите сведения о развертывании. Чтобы просмотреть подробные све- 
дения о репликах в развертывании, введите следующие данные: 


$ КибесЕ1 деѕсгіре ер1оутепЕѕ /Кибегпе{е$ -Боо%сатр 


Мате : Кибегпефе$ -Боо{сатр 
Матеѕрасе: аеҒаи1+ 
Вер11саз: 4 деѕігеа | 4 ирда+еа | 4 +офа1 | 4 ауа11аб1е | 9 ипауа11аб1е 


№емВер11са$е*: Кибегпефе$-Боо{сатр-5648с+асба (4/4 гер11саз сгеа+еа) 
Еуеп{$ : 
Туре Кеаѕоп Аве Егот Меѕѕаве 


№огта1 Ѕса1іпеКер1ісаѕеї 17т аер1оутеп-сопёго11ег Ѕса1еа ир 
гер11са зе Кибегпефе$-Боо{сатр-5648с+асба +о 1 

№огта1 Ѕса1іпрКер1ісаѕеїё 9т25$ Яер1оутеп-сопёго11ег Ѕса1еа ир 
гер11са ѕе кирегпееѕ-Ббооёсатр-5648с+асЬа +о 4 


Проверка балансировщика нагрузки 


Чтобы удостовериться, что трафик распределяется по всем четырем реплициро- 
ванным модулям, используйте Мо4еРоте, а затем команду сиг1, убедившись, что 
несколько подключений к МойеРогї дают доступ к разным модулям. 
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1. Перечислите сведения о службе. Чтобы получить подробную информацию 
[0] службе кибегпе+еѕ -бооёсатр, введите следующую команду: 


$ Ккибес+1 ӣеѕсгіре ѕегмісеѕ/кирегпе+еѕ -Боо%сатр 


Маме: Кибегпефе$ -Боо{сатр 
Матеѕрасе: ае+аи1+ 

Габе15: гип=Ккирегпе+еѕ -бооёсатр 
Аппофа{1оп$: <попе> 

Ѕе1есіог: гип=Ккирегпе+еѕ -бооёсатр 
Туре: М№МоаерРог+ 

ІР: 10.99.183.8 

Рогі: <ипѕе> 8080/ТСР 
Тагре+Рогі: 8080/ТСР 

МодеРог* : <ипзеф> 31915/ТСР 
Епаро1п{$: 172.18.0.4:8080,172.18.0.6:8080,172.18.0.7:8080 + 
1 тоге... 


Обратите внимание на ІР-адрес и порт (172.18.0.4:8080, 172.18.0.4:8080 и т. д.), 
присвоенные каждому поду. 


2. Подключите М№одеРог(. Введите приведенную далее команду, чтобы установить 
$МОБЕ_РОВТ в значение номера порта, назначенного службе: 


$ ехрогф МОБЕ_РОВТ=$ (КиБесЕ1 ре ѕегмісеѕ/Ккирегпееѕ-рооЁсатр \ 
-о во-Фетр1а%е='{{(1п4ех .ѕрес.рогіѕ 0).подеРог*}}') 


$ есһо МОБЕ_РОВТ=$МООЕ_РОВТ 
М№МОБЕ_РОКТ=31915 


3. Запустите команду сигі. Выполните команду сиг1 несколько раз, чтобы запро- 
сить службу. Если вы запустите ее несколько раз, то увидите, что она обращает- 
ся к разным подам. Именно так можно понять, что балансировщик нагрузки 
работает: 


$ сиг1 $(тіпікибе ір) :$№ОрЕ РОВТ 
Не11о Кибегпефез$ Боо%сатр! | Киппіпе оп: кибегпеёеѕ -бооёсатр- 
5р48сҒасьа-9ј4хр | м=1 


Уменьшение масштаба приложения 


Чтобы масштабировать количество наборов реплик КеріісаЅеѓѕ, определенных 
в развертывании, просто уменьшите количество реплик. 


1. Уменьшите количество реплик. Введите приведенную далее команду, чтобы 
изменить количество реплик для развертывания на 2: 


$ Ккибес+1 ѕса1е дер1оутеп*$ /КиБегпефе$ -Боо%сатр -гер1ісаѕ=2 
аер1оутеп+ .ехёепѕіопѕ/ кирегпеёеѕ-бооёсатр ѕса1еа 


2. Проверьте развертывание. Чтобы убедиться, что развертывание установлено 
на 2 и запущены только два модуля, введите следующее: 
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$ КибесЕ1 веф аер1оутепіѕ 


МАМЕ КЕАОУ ОР-ТО-РАТЕ АМАТІАВІЕ АСЕ 
кибегпеёеѕ-рооёсатр 2/2 2 2 52т 
$ КибесЕ1 реї ройѕ -о м1ае 
МАМЕ КЕАБУ ЗТАТУ$ КЕЗТАВКТ$ АСЕ ТР 
МОРЕ МОМІМАТЕР М№ОрЕ КЕАОТМЕ$$ САТЕЅ 
кибегпееѕ-бооёсатр-564... 1/1 Киппіпе Өө 8т435 
172.18.0.4 
тіпікибе «попе» <попе> 
кибегпееѕ-брооёсатр-564... 1/1 Киппіпр Өө 125 
172.18.0.8 


На этом этапе уже понятно, как вручную запрашивать свой кластер Киђегпеќеѕ 
различными способами, а также запускать развертывания, модули и реплики 
и работать с ними. Чтобы продолжить работу с более продвинутыми руководства- 
ми КиБегпеѓеѕ, вернитесь на главную страницу Киђегпеѓеѕ Тиќогіа[ѕ (кибегпеќеѕ. 
іо/аосѕ/ќиќогіа[5/). Я также рекомендую сайт Киђегпеќеѕ Ву Ехатріе, где содер- 
жится дополнительная информация об использовании КиБегпеїеѕ (КибеглеезБу- 
ехатріе.сот). 


Корпоративная платформа Кирегпеѓеѕ 
с технологией ОрепЅћі 


Платформа Реб Наѓ Ореп5 И Сопіаіпег Ра отт (мму.орепѕћій.сот) — это продукт, 
предназначенный для предоставления корпоративной платформы КиБегпебез, ко- 
торая может использоваться для критически важных приложений. Как гибридная 
облачная платформа, Ореп 5 Ё создана для развертывания и на пустом компью- 
тере, и в облачных средах. 

Кирегпеез$ — это проект с открытым исходным кодом, который может быть по- 
строен и запущен огромным количеством способов, а продукты на базе КиБегпеѓеѕ, 
такие как ОрепЅһі, предназначены для применения надежной поддерживаемой 
платформы, на которую может положиться бизнес. Ореп ЗЫ также поставляется 
в различных вариантах, которые могут быть установлены в центре обработки дан- 
ных и в облачных средах, таких как АҰЅ и Ахше, или просто использоваться из 
выделенного кластера Ореп ЗЫ Щ, поддерживаемого Ве4 Нав. 

Если заблокировать функции КиђБегпеѓеѕ, которые Вей Наѓ встраивает в ОрепЅ, 
их тщательно протестируют и проверят. Обучение и документация основаны на 
этих функциях. Кроме того, в систему можно встроить более сложные функции, 
которые соответствуют требованиям правительства или тесно интегрируются с раз- 
личными облачными средами. 

Благодаря интуитивно понятной веб-консоли Кеа На Ореп5 М становится 
проще в применении для пользователей, начинающих работать с КиБегпеќеѕ. При- 
мер консоли Ореп5 М показан на рис. 30.2. 
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Рис. 30.2. Интуитивно понятный веб-интерфейс ОрепЅћі& применяется для развертывания 
объектов Кибегпеѓеѕ и управления ими 


Существуют бесплатные пробные версии Ореп5 МЫ, доступные на сайте 
ігу.орепѕћі.сот. Есть также сторонний проект с открытым исходным кодом для 
ОрепЅһіЁ, называемый ОКО, который вы также можете получить бесплатно 
(уууууг.оКка.іо). 


Резюме 


За последние несколько лет Киђегпеѓеѕ стал популярной платформой для развер- 
тывания контейнерных приложений в крупных центрах обработки данных. Кластер 
Киегпебе$ состоит из мастер-узлов (которые управляют деятельностью кластера) 
и рабочих узлов (которые фактически запускают контейнеризированные модули). 

Как пользователь, применяющий Кирегпейез для запуска контейнерных прило- 
жений, вы можете создавать развертывания, определяющие состояние запущенного 
приложения. Например, можно развернуть приложение, настроенное для запуска 
нескольких реплик модулей, представляющих это приложение. Вы можете иденти- 
фицировать приложение как службу и настроить его так, чтобы оно было доступно 
из определенных портов на узлах. 

Используйте проекты на основе Киђегпеќѓеѕ, если хотите запускать критически 
важные приложения в стабильных и поддерживаемых средах. Один из таких про- 
дуктов — контейнерная платформа Кей Наб ОрепЗ М. С ее помощью вы можете 
запускать поддерживаемые конфигурации кластеров на базе КиБегпеѓеѕ, которые 
работают в различных средах, включая компьютерный сервер и различные об- 
лачные среды. 
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Упражнения 


Упражнения этого раздела позволят протестировать работу КиБегпеїеѕ либо 
онлайн, либо путем настройки Міпікиђе на компьютере. Если затрудняетесь с ре- 
шением заданий, воспользуйтесь ответами к упражнениям, приведенными в при- 
ложении Б (хотя Глпих позволяет решать задачи разными способами). 


1. 


10. 


Установите Міпікиђе в локальной системе или получите доступ к инстансу 
Міпікиђе онлайн (например, через руководство Кибегпеїеѕ.іо). 


Просмотрите свою версию Міпікиђе, а также версии клиента Кибес*1 и службы 
Кирегпебез. 


Создайте развертывание, которое управляет модулем, выполняющим образ 
контейнера пе11о-поде (дсгіо/һеіо-тіпікибе-гего-іпѕќа/һеПо-пойе). 


Используйте подходящие команды Кибес+1, чтобы просмотреть развертывание 
Ве11о-поде и подробно описать его. 


Просмотрите текущий набор реплик, связанный с развертыванием һе110-пойе. 
Масштабируйте развертывание һе110-поде до трех реплик. 


Откройте развертывание һе110-поде за пределами кластера КиБегпебез с по- 
мощью Гоа4Ва[апсег. 


Получите ГР-адрес своего инстанса Міпікиђе и номер порта открытой службы 
Не11о-поде. 


Введите команду сиг1 для запроса службы һе110-пойе, используя ІР-адрес 
и номер порта из предыдущего упражнения. 


Задействуйте команды Кибес+1 для удаления службы һе110-пойе и развертыва- 


ния, а затем примените команду тіпікибе для остановки виртуальной машины 
Міпікиђе. 


Приложения 


В этой части 


ш Приложение А. Устройства. 
ш Приложение Б. Ответы к упражнениям. 


Устройства 


В этом приложении 


и Загрузка разных дистрибутивов Шпих. 
и Создание СО- или В\О-накопителя с Ипих. 


Если на компьютере не предустановлена Глпих или кто-то не установил ее за вас, 
необходимо найти способ загрузить дистрибутив Глпих, а затем либо установить, 
либо запустить его в реальном времени на компьютере. К счастью, для Піпих су- 
ществует множество самых разных дистрибутивов. 

В данном приложении вы узнаете: 


® как установить разные дистрибутивы іпих; 
® создать накопитель и установить дистрибутив через него; 
® загрузить [пах через ОЗ В-накопитель. 


Для эффективной работы с книгой важно сразу применять знания к дистрибу- 
тиву Глпих. Поэтому пробуйте все представленные в ней примеры и выполняйте 
упражнения. 

Дистрибутивы Глпих чаще всего можно найти на сайтах организаций, которые 
их создали. В следующих разделах представлены сайты дистрибутивов Глпиах, на 
которых можно скачать соответствующие [ЗО-образы. 


ПРИМЕЧАНИЕ 


150-образ — это образ диска в формате файловой системы 150 9660, который обычно используется собразами СО 
и ур. Это хорошо известный формат, и он читается системами М\їпаомугѕ, тас05 и Ипих. 


150-образ в зависимости от его размера можно загрузить на 05В-накопитель, компакт-диск или ОУО-носитель. 
150-образ в файловой системе может быть смонтирован в Ипих в петлевом режиме, чтобы можно было просма- 
тривать или копировать его содержимое. 


Приложение А. Устройства 853 


Если 150-образ содержит Мпих Шуе СЮ или установочный образ, то он является загрузочным. Это означает, что 
вместо запуска уже установленной на жестком диске операционной системы (например, пом или пих) но- 
вая система загрузится с СО или РУР. Это позволит запускать другую операционную систему, не изменяя и не по- 
вреждая данные на жестком диске. 


Установка Гедога 


ПРИМЕЧАНИЕ 


Я рекомендую загрузить «живой» образ Еейога Могкѕќайоп Име Ітаде и использовать его при чтении этой кни- 
ги, так как в большей ее части рассматриваются примеры с этим дистрибутивом. Дистрибутив можно запустить 
в реальном времени без перезаписи жесткого диска компьютера, чтобы попробовать работу в системе перед 
полноценной установкой. 


Для примеров в этой книге я применял 64-разрядные образы Еейога МогК- 
збаНоп 30 и 31, которые можно найти на сайте бе{Редога.огд (деМедога.огд/еп/ 
ууогкѕїайоп/аомпіоаа). Если у вас 64-разрядный компьютер, необходимо использовать 
64-разрядный 180. 

Более поздние версии ЕеЧога с рабочим столом СМОМЕ также работают на 
64-разрядном компьютере. Прямая ссылка на образ Ее4ога 31 Уогк%айоп — 
Яомупіоаа.ѓейогаргојесі.огд/риБ/ғеаога/1іпих/геіеаѕеѕ/31/\огкѕќаїоп/х86_64/іѕо/Рейога- 
\М/огкаНопт-Нуе-х86_64-31-1.9.150 

Имейте в виду, что текущий [$О-образ Еейога Могкѕќайоп не поместится на 
СО, поэтому его нужно записать либо на ОУ-носитель, либо на ОЗВ-накопитель. 
См. описание способов записи СО/ОУ, доступных для \/ш4о\з, тасО$ и пих, 
далее в этом приложении. 

На рис. А.1 показан пример страницы сайта Сей Еедога. 


< > С 0 ё дебебогаогд/еплчогкоїайоп/бомтіоза/ пя лор Ө 9 | Е) 
ШЕ /ОРК$ТАТОМ Оуегием Оомпіоаа 


Ромпіоаа Ғедога 31 Могкѕїайоп. 


ҮМе'ге 50 іад уоиме десідеа то ме Еедога \Могкхацоп а їгу. Ме кпом уои!!! оме іс. 


Оп Міпаомѕ ог МасО5? Оп Ипих ог јиѕё мапі ап 150 Пе? 


Сех ${ацед Бу иѕіпр Ғейога Мейіа М/гіќег, уућісћ такез К М№о‹ ѕиге һом (0 изе ћіѕ Ше? _еагп һеге. 
зирег еаѕу ќо ріуе Ғедога а (ту. 


Ғедога Медіа Мгіег [=] | Еедога 31: х86_64 ОМО 150 


Рис. А.1. Страница загрузки образа Гедога 150 
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Здесь загружается 150-образ Еейога №Могкѕсќайоп (СМОМЕ) Шуе РУО на 
64-разрядный компьютер. Этот образ можно загрузить на компьютер и при жела- 
нии сразу установить на жесткий диск. Для того чтобы загрузить образ, сделайте 
следующее. 


1. Выберите настольную систему ҰогКѕайоп или сервер Зегуег на сайте беедога.огд. 
Я советую для работы с книгой выбрать Могкѕќайоп. 


2. Нажмите кнопку Бомитоа4 № м (Загрузить сейчас), а затем кнопку Бомитоаа ( За- 
грузить). Откроется диалоговое окно для выбора места сохранения файла. 


3. Сохраните 150-образ. В зависимости от настроек менеджер загрузки либо ска- 
чает файл в папку по умолчанию, либо предложит выбрать другую (в системе 
Тлпих это папка Оромпіоааѕ (Загрузки)). 


4. Выберите папку с достаточным количеством места для образа. Запомните ее 
местоположение, чтобы потом легко найти файл. 


Если вам нужна дополнительная информация о том, что делать с загруженным 
образом, на странице Еейога есть страницы руководства. Актуальная на момент 
написания этого приложения страница Геагп Неге описывает, как создавать живые 
установочные носители для образов. Точные инструкции могут изменяться по мере 
обновления сайта. 

Есть и другие варианты загрузки 150 с сайта. Внизу страницы СеїҒейога.ого мож- 
но скачать специально настроенные 1850-образы Еейога — так называемые сборки 
(ѕріпѕ.ѓедогаргојесї.огд). Вот список интересных сборок ЕеЯога. 


® Сборка КРЕ 4езКфор. Те, кто предпочитает рабочий стол КРЕ рабочему столу 
СМОМЕ, могут скачать сборку РІаѕта КЮЕ. 


® Сборка Ііеһіуеіғһ деѕкќор. Если на компьютере небольшой объем памя- 
ти или малая вычислительная мощность, обратите внимание на сборки ХЁсе 
и ІХОЇ (легкие хорошо интегрированные среды рабочего стола). 


® Сборка с дополнительными эффектами. Сборка МАТЕ-Сотріх — это класси- 
ческий рабочий стол Еедога ОезКбор с дополнительным З0-менеджером окон 
и визуальными эффектами. 


® Сборка, подходящая для детей. Сборка ЗОА$ Пеѕкіор — это операционная 
система с обучающей платформой Ѕиваг с удобной для детей графической 
средой. Сборка помещается на обычном ОЗВ-накопителе и работает на любом 
компьютере. 


Установка Кеа Наї Епїегргіѕе Ипих 


Многие крупные корпорации, правительственные учреждения и университеты 
используют Кеа Наё Епѓегргіѕе Ііпих для работы своих критически важных при- 
ложений. Хотя большинство примеров в этой книге хорошо действуют на Ее4ога, 
существует много способов выполнить ту же задачу, но по-другому в Вей Наѓ 
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Епбегри1зе Глпих. Для системного администратора Г4пах в большинстве случаев 
необходим опыт работы именно в дистрибутиве Кеа Наб Епїегргіѕе Глпих. 

Хотя исходный код Кеа Наё Ежегризе Піпих находится в свободном доступе, 
ТЗО с пакетами установки (называемые двоичными) доступны только подписчикам 
на портале Кеа Наї (ассез.гедпае.сот) или в демоверсии (пробный период 30 дней). 
Если у вас или вашей компании есть учетная запись в Кеа Наб, можете загрузить 
необходимые 1ЗО-образы. Перейдите на сайт и следуйте инструкциям, чтобы за- 
грузить [5 О-файл Веа Наг Етегри!зе Глпих или зарегистрироваться для получения 
демоверсии: ассез$.гедпа*.сот/Чомитюад$. 

Веа Наг не предоставляет «живые» версии Вей Наё Ещегрт1зе Піпих. Вместо 
них можно загрузить установочные ОУ, работа с которыми описана в главе 9 
«Установка пих». 


ПРИМЕЧАНИЕ 


Если у вас нет установочного О\О с Вед Наї Епќегргіѕе Чпих, можете воспользоваться аналогом Сепќ05. Дистрибутив 
Сепі05 — не совсем то же самое, что КНЕ. Установочный 0\/ с Сепї05 для Сепї05 8.х доступен по ссылкам на сайте 
(епЕО$ (сепкоз.огд/Чомитюаа), и процедура установки аналогична описанной для Кей Наї Епќегргіѕе Шпих в главе 9. 


Установка Убит 


Многие новички в [лпих начинают с установки ОЪипќи. У этого дистрибутива 
множество поклонников и активных участников. Существуют крупные активные 
форумы, где в случае проблем с ОБипќи вам могут помочь. 

Если у вас уже установлена система ОБити, для большей части примеров из 
книги можете использовать ее. У ОБипеи с рабочим столом СМОМЕ панель мо- 
ниторинга ЧазВ по умолчанию схожа с командной оболочкой Баѕћ (также можно 
переключиться на Баѕћ в ОБипи, чтобы оболочка соответствовала оболочке из 
примеров в книге). Хотя большинство примеров этой книги относятся к Ее4ога 
и ВНЕГ, в новом издании книги я добавил информацию о дистрибутиве ОБипёи. 

Чтобы установить ОБипќи, скачайте 150-образ со страницы Оо\ушоа Оита 
(ибити.сот/домитюаа/ибипфи). 

На рис. А.2 показана страница сайта До\оаа ОБипеи ОезКор. 

Как и в случае с Еедога, самый простой способ загрузить ОЪипќи — это выбрать 
64-битный образ, загрузить его и записать на носитель. Вот как это сделать со 
страницы загрузки ОБипёи. 


1. Нажмите кнопку Бомпюаа. По умолчанию будет загружен самый последний 
64-разрядный рабочий стол Оита Глуе 180. 


2. Загрузка начнется либо автоматически, либо с определением папки для скачи- 
вания. 


3. В случае с выбором папки выбирайте ту, в которой достаточно места. Запом- 
ните местоположение файла, чтобы воспользоваться им позднее. 
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ДД оуегием СІолй ют  ВазрьепуР!  Зегуег  ОебЖор АЇегпайме бомпіогйѕ Чбипёи Ааусигу 


Оомпіоаа Обопёо Сеѕкёор 


ОБиупы 18.04.4 175 
Оомтпісай ће Іаёеѕ+ 175 мегчіоп оЁ ЈЬипіџ, Гог деѕкёор РСѕ апа Іарёорзѕ. 175 «Ќагиіѕ Гог 
1опд-егт ѕиррогі — мћісћ теапѕ ёме уеагѕ, иг Аргіі 2023, оѓ ѓгее ѕесигіку апа 


гтаіпіепгпсе ирда(ех, диггапіееа. 
Рог офег мегзюпз оЁ Обипёи Оеѕкёор іпсіидіпа 
ОЬопёџ 18.04 175 ге[еаѕе поѓеѕ Хотгепі, ће пебмлогќ Іпѕ&аіег, а 5 оЁ оса! тіггогэ, 


апд раз геіегѕеѕ зее оџг гќегпаНме домтпіоадѕ. 
Весоттепдед зузсет гедикегтепіѕ: 


Рис. А.2. Скачайте 150-образ УБити или выберите другую сборку 


После завершения загрузки запишите 150-образ на РУО, применяя инструк- 
цию из раздела «Создание СО и РУР пих». 

Для дистрибутива ОБип{и доступны и другие типы установочных носителей. 
Чтобы воспользоваться другими носителями, перейдите на страницу АЦегпайуе 
Юоҳжп1оадѕ (ибипёи.сот/аомпіоаа/аіќегпайуе-аомпіоааѕ). На этом сайте вы получите 
носитель с множеством настольных и серверных установок. 


Установки Шпих с У$В-накопителя 


Кроме СР- или РУО-носителя, 1$ О-образы Піпих можно записать на О$В- 
накопитель. Преимущество О5В-накопителей заключается в том, что они до- 
ступны как для записи, так и для чтения, что позволяет сохранять данные между 
сеансами. Большинство современных компьютеров могут загружаться с ОЅВ- 
накопителя, но, возможно, придется сообщить ВТО$ о загрузке с ОЅВ-накопителя, 
а не с жесткого диска или СО/ОУ-привода. 

Инструкции по загрузке Еейога и ОЪипќи на ОЅВ-накопитель таковы. 


ө Ғедога на ОЗВ-накопитель. С помощью инструмента Глуе О5В Стеафог можно 
загрузить [$О-образ Еейога на ОЗВ-накопитель в №іпаоуѕ или Глпих. Чтобы 
запустить Еейога, вставьте накопитель в ОЅВ-порт, перезагрузите компьютер, 
прервите загрузку ВІОЅ (возможно, нажимая клавишу Р12) и выберите загрузку 
с ОЅВ-накопителя. Инструкция по загрузке с помощью Шуе О5В доступна по 
ссылке аӣосѕ.ѓейогаргојесі.ого/еп-О5/аиіск-аосѕ/сгеаїіпа-апа-иѕіпо-а-Ііме- т$аПаНоп-птаде/ 
іпаех.ћті. 
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ОБип на О$В-накопитель. Для создания загрузочного О$В-накопителя 
с ОБипеи на нем, который работает с \Мт4о\уз, тасО$ или пах, перейдите на 
страницу УБити Ромпіога. В разделе Еаѕу \ммауз їо мисн їо УБипеи (Руководство по 
ОБипёи для новичков) найдите нужный вариант Ном ќо сгеаќе а БосбаЫе ОЅВ $Нск 
(Запуск компьютера с СО или флешки): ирипёи.сот/ќиќогіа[/ќиќогіаі-сгеаќе-а-иѕр- 
ѕііск-оп-ирипіи#1-омегуіем. 


Создание СРО и ВМБ Ипих 


После загрузки образа Глпах для СО или ОУ используйте один из вариантов 
загрузки образа на диск и запуска Глпах с него. Перечислю необходимые состав- 
ляющие. 


ІЅ0-образ для ОУР или СО. Загрузите на компьютер 150-образы для физи- 
ческих РУР или СО. Большинство [ЗО-образов Піпих слишком велики, чтобы 
поместиться на С” (в том числе ВНЕГ, Еейога и ОЪипёи). 


Пустой ОУр или СО. Для записи образов вам понадобятся чистые РУР или 
СО. С” вмещают около 700 Мбайт, РУР (однослойные) — около 4,7 Гбайт. 


Программа для записи СО/ОУО. Вам понадобятся специальная программа 
для записи на Ср и рур и привод. Не все СО/ОУ-приводы могут записы- 
вать данные на РУР (особенно старые), а это значит, что нужен подходящий 
дисковод. 


В следующих подразделах описывается, как записывать информацию на СО 


и рур из систем \/т4о\5, тасО$ и Глпих. 


Запись СО/БУБ в М/іпаоуѕ 


Если [ЗО-образ Глпих загружен в систему Ұіпіомѕ, записать его на СО или РУР 
можно различными способами, например такими. 


У т4о\. В последних версиях \Лп4о\из функция записи [$О-образов на СЮ 
или РУО встроена в систему. После загрузки 150-образа просто вставьте соот- 
ветствующий СО или РУР в дисковод компьютера (при этом диск доступен 
для записи), щелкните правой кнопкой мыши на значке образа 150 из папки 
и выберите команду Вит Оіѕс Ітаде (Записать образ). Когда появится окно 
М/паомиз Гус Ітаде Вигпег, выберите Вит (Записать), чтобы записать образ. 


Программа Кохіо Сгеаќог. Это сторонняя программа для системы \/т4о\$ 
с множеством функций для копирования и записи СО и рур. Больше инфор- 
мации о программе — на сайте гохіо.сот/еп/ргойисіѕ/сгеаќог/. 

Программа №его СО/РУО Вигтіп= КОМ. Мето — одна из популярных про- 
грамм для записи СО и РУО для систем \/1140о\$. Больше информации 
о программе — на сайте пего.сот. 
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Запись СО/ОМО в тасоО$ 


Как и в системе \/тш4о\з, в тасО$ встроено программное обеспечение для за- 
писи СО/РУО. Чтобы записать 1$О-образ на диск в системе тасО$, выполните 
следующие действия. 


1. Скачайте нужный 150О-образ на компьютер. Значок образа появится на рабочем 
столе. 

2. Вставьте пустой СО или РУО (в зависимости от размера образа) в дисковод. 

3. Щелкните правой кнопкой мыши на значке образа и выберите команду Вит 


"Шпих" {0 ОБК (Записать на диск). В появившемся диалоговом окне будет задан 
вопрос, действительно ли вы хотите записать образ на диск. 


4. Введите имя для [ЗО-образа и скорость записи, а затем выберите Вит (Запи- 
сать). Начнется запись образа на диск. 


5. После окончания записи извлеките диск. Теперь его можно использовать для 
установки системы. 


Запись СО/БУР в Ипих 


Тіпих имеет как графические, так и командные инструменты для записи образов на 
физические носители. В этом разделе мы рассмотрим, как использовать программы 
КЗЬ или сагесога (или моаіт) для записи 1850-образов на С” или РУР. Если они 
не установлены, установите их с помощью: 


® для Еедога или ВНЕГ: 


# уит іпѕ+а11 КЗЬ 
# уит іпѕ+а11 модіт 


® для ОеБап или ОЬипќи: 


# арі-реї іпѕ+а11 КЗЫ 
# арі-реї іпѕёа11 модіт 


Запись Ср/р\р с рабочего стола Шпих 


Вот как можно создать загрузочные диски из работающей системы Гіпих (напри- 
мер, Ее4ога) с помощью программы КЗЬ (она включена в рабочий стол КПЕ, но 
действует и в СМОМЕ). 


1. Скачайте 150-образ на жесткий диск (СО вмещают около 700 Мбайт, РУБ 
(однослойные) — около 4,7 Гбайт). 

2. Откройте приложение для записи дисков. Я рекомендую использовать КЗЬ 
СР” ара Рур Кгеафог (КЗЬ.ога). В Ее4ога выберите Асімійеѕ (Обзор) и введите 
КЗЬ в окне поиска (или в окне терминала). Появится окно КЗЬ — ТВе СР апа РУБ 
Кгеафог. 
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3. Перейдите на вкладку Тоо > Вит Ітаде (Инструмент » Записать образ), чтобы 
записать образ на диск. Вам будет предложено выбрать файл образа. 
4. Перейдите к изображению, которое вы только что загрузили или скопировали 


на жесткий диск, и выберите его. После этого откроется окно записи образа 
и значения образа. На рис. А.З показано окно КЗЬ с выбранным образом Еейога. 


КЗЬ - Тре СО апа О\О Кгеаќог х 


Ре Рго]есё Оемсе Тоо5 5ейтдз Нер 
© Мем Ргојесі Г] Ореп... Е Е (©) Рогтаѓ РУ » Оомтпіоаѕ » Ғейога 


» 9 Ноте 
» Сеѕкќор 
» 9 Ооситепіѕ 
~ ВЭ Оомпіоабѕ 
- 
* Г] Еедога31 
> Р] ВНЕЕ 
>] ЧБупы 


< ор Ф (© ВӘ В Рег: АШЕИе$ а =» 


Мате ^ біге Рае 
~-Ё3 Еедога31 1 Нет 2/16/20 6:18 РМ 
Ғедога-М/огкѕ(айоп-Шуе-х86 64-3... 1.3 СІВ 2/16/20 6:22 РМ 


Ме(соте фо КЗЬ – Тһе СО, РУР, апа Вш-гау Кгеаѓог 


(©) (2 
М4 «а? о 
Мем Оа{а Ргојесі Мем Ауд СО Ргојесї Сору Мефит... 


Моге асїоп... 


КЗЬ 19.04.3 Соругідћ © 1998-2018 КЗЬ ащпог$ 


Тетр: 4.0 КІВ/7.8 @В КЗЬ19.04.3 


Рис. А.З. Запись СО/О\О с помощью КЗЬ 


5. Вставьте пустой диск в дисковод (если появится окно СО/ОМО Сгеаюг, закрой- 
те его) 

6. Проверьте настройки в окне Вит Ітаде (Записать образ) (часто значения по 
умолчанию подходят, но можно замедлить скорость, если запись не удастся). 
Вы также можете установить флажок Ѕітиіаѓе, чтобы проверить качество записи 
перед фактической записью. Нажмите ак, чтобы продолжить. 


7. После завершения записи СО/БУР извлеките диск (или это будет выполнено 
автоматически) и сделайте на нем пометки (например, имя дистрибутива, номер 
версии, дату и имя [3 О-образа). 


Теперь можно воспользоваться этим диском для загрузки Гпих на другой 
компьютер. 
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Запись СО/ОМО с помощью командной строки 


Если у вас нет графического интерфейса или вы предпочитаете работать из обо- 
лочки, примените для записи 150 команду сагесога. Скачайте 150-образ, вставьте 
пустой диск и используйте простую командную строку для записи образа: 


# сагесога -у мһаёеуег.іѕо 


См. руководство к команде сагесога для того, чтобы узнать, что еще можно 
сделать с ее помощью. 


Ответы 
к упражнениям 


В этом приложении представлены ответы к упражнениям из книги. Глпих позво- 
ляет подходить к решению задач с разных сторон, и в данном приложении пред- 
лагаются некоторые из вариантов. 

Часть упражнений требуют изменения системных файлов, которые могут 
поменять основной функционал системы или даже сделать так, чтобы система 
перестала загружаться. Поэтому я рекомендую выполнять упражнения в системе 
Гіпих, которую можно изменять и удалять, если что-то пойдет не так. Отличный 
вариант — использовать специальные виртуальные машины. 


Глава 1. Начало работы в Мпих 


В первой главе не было упражнений. 


Глава 2. Идеальный рабочий стол в Мпих 


Здесь подробно описаны способы выполнения данных задач как на рабочих столах 
СМОМЕ 2, так и на рабочих столах СМОМЕ 3. 


1. Чтобы начать практиковать знания из книги, установите систему Глпих, пред- 
почтительно на жестком диске. Это позволит не потерять все изменения при 
перезагрузке. Для начала можете использовать установленные системы Ее4ота 
Глуе СО, ОБапеа или Вей Нас Епѓегргіѕе Глпах, например: 


= Еедога уе СО (СМОМЕ 3). Создайте Еейога Глуе СО, как описано в при- 
ложении А. Запустите его в реальном времени, как описано в разделе «За- 
пуск Еедога со средой СМОМЕ из образа» в главе 2, или установите его 
и запустите с жесткого диска, как говорилось в главе 9 «Установка ГЛпих»; 


= ОБипе (СМОМЕ 3). Установите ОБапа и программное обеспечение 
СМОМЕ $Бе|, как описано в начале главы 2; 
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Вед Наё Епѓегргіѕе Глпих 8 (СМОМЕ 3). Установите Кеа Наё Ерѓегргіѕе 
Шпих 7, как описано в главе 9; 


Вей Наё Епѓегргіѕе Ііпих 6 и ранее (СМОМЕ 2). Установите дистрибутив 
Веа Наё Ещегризе Глпих 6. 


2. Чтобы запустить браузер Еігеѓох и перейти на домашнюю страницу СМОМЕ 
(дпоте.огд), необходимо выполнить несколько простых шагов. Если подключе- 
ния к сети нет, обратитесь к главе 14 «Администрирование сети» за информа- 
цией о подключении к проводным и беспроводным сетям. 


СМОМЕ 3. Нажмите клавишу \Міпаомѕ, чтобы перейти на обзорный экран. 
Введите ҒігеҒох, чтобы выделить значок браузера, и запустите его с помо- 
щью клавиши Ещег. Введите в строке поиска поте .огр и нажмите клавишу 
Епќег. 


СМОМЕ 2. Нажмите на значок браузера на верхней панели. Введите в стро- 
ке поиска впоме.огё и нажмите клавишу Епќег. 


3. Чтобы установить фоновое изображение с сайта впоте-1оок. оге, скачайте по- 
нравившееся в папку Изображения и выберите его в качестве текущего фона. 
Порядок действий таков (актуален и для СМОМЕ 2, и для СМОМЕ 3). 


Введите впоте-1оок.оге в поисковой строке в Еігеѓох и нажмите клавишу 
Епќег. 


Найдите подходящее изображение. Нажмите кнопку Бомпюаа и скачайте 
изображение в свою папку Изображения. 
Откройте папку с изображением, щелкните на нем правой кнопкой мыши 


и выберите вариант 56% аз \МаЙрарег (Установить как фон). Изображение будет 
установлено в качестве фона рабочего стола. 


4. Чтобы запустить файловый менеджер, перейдите на второе рабочее место и сле- 
дуйте инструкции. 


Для СМОМЕЗ: 
а) нажмите клавишу \МИпдом; 


б) выберите значок Файлы на панели приложений (слева). На текущем ра- 
бочем месте откроется новое окно приложения; 


в) правой кнопкой мыши нажмите на имя окна (Файлы) и из контекстного 
меню выберите вариант Мохе їо Мопіќог ромп (Переместить на рабочее место 
вниз). Окно приложения Файлы переместится на второе рабочее место. 


Для СМОМЕ 2: 


а) откройте домашнюю папку на рабочем столе СМОМЕ 2 (двойным щелч- 
ком на значке Ноте); 


б) правой кнопкой мыши щелкните на верхней панели окна и выберите или 
Моме ёо Могкѕрасе Відћ (Переместить на рабочее место справа), или Моуе 
їо Апошег Могкѕрасе (Переместить на другое рабочее место). Выберите 
нужное рабочее место из списка. 


Приложение Б. Ответы к упражнениям 863 


Чтобы найти загруженное ранее изображение и открыть его, сначала перей- 
дите в домашнюю папку и откройте папку Изображения. Дважды щелкните на 
изображении, и оно откроется в менеджере изображений, установленном по 
умолчанию. 


Перемещение между рабочим местом с браузером Еігеѓох и местом с файловым 
менеджером осуществить довольно просто. 


Если предыдущие упражнения были выполнены правильно, окна приложений 
Файлы и ЕігеЃох должны находиться на разных рабочих местах. Вот как можно 
перемещаться между этими рабочими местами в СМОМЕЗи СМОМЕ 2. 


" СМОМЕЗ. Нажмите клавишу \\Мпаомз и выберите в правой колонке нужное 
рабочее место. Можно также нажать сочетание клавиш АК-+Таь и, удерживая 
клавишу ТаБ, с помощью клавиш <, 7, $ и » подсветить нужное приложение 
в списке. 


" СМОМЕ2. Выберите рабочее место с помощью нижнего правого значка, обо- 
значающего список рабочих мест. Если у вас включены эффекты рабочего 
стола (буфет › Ргеѓегепсеѕ » Оеѕкќор Еїесѕ » Сотріх (Система » Параметры » Эф- 
фекты рабочего стола)), нажмите сочетание клавиш С+АК+-> (или <), 
чтобы перейти к следующему рабочему месту. 


Чтобы открыть список приложений, установленных в системе, и выбрать сред- 
ство просмотра изображений, используя как можно меньше щелчков кнопкой 
мыши или нажатий клавиш, выполните следующее. 


= СМОМЕЗ. Переведите указатель мыши в левый верхний угол, чтобы пере- 
йти в Оуегмем (Обзор). Нажмите на значок Арріісайопѕ (Приложения), вы- 
берите папку Оіійеѕ (Утилиты) и в ней приложение Ітаде Мемег (Просмотр 
изображений). 


" СМОМЕ 2. Чтобы открыть изображение на рабочем столе, перейдите 
в Арріісайопѕ > Сгарћісѕ > Іпаде Мемег (Приложения » Графика » Просмотр 
изображений) и выберите приложение просмотра. 

Чтобы отобразить весь список рабочих мест в уменьшенном виде, выполните 

следующие действия. 

= СМОМЕЗ. Нажмите сочетание клавиш АК+ТаЬ. Удерживая клавишу АК, 
нажимайте клавишу ТаБ, чтобы выбрать нужное приложение. Отпустите 
клавишу АЕ, чтобы подтвердить выбор. 


= СМОМЕ2. Нажмите сочетание клавиш СШ-+АЕ+Таь. Удерживая клавиши СШ--АЕ, 
нажимайте клавишу Та, чтобы выбрать нужное приложение. Отпустите кла- 
виши Сі и АК, чтобы подтвердить выбор. 


Как запустить музыкальный проигрыватель с помощью клавиатуры. 
=" СМОМЕЗ: 
а) нажмите клавишу \Міпаомѕ и перейдите в Обзор; 


б) вводите в поисковой строке слово Ку+ћ, пока значок приложения не под- 
светится, и нажмите Епќег. Если в дистрибутиве ОБип(и не установлена 
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программа ВВуфтьБох, введите Вапѕћ, чтобы открыть проигрыватель 
Вапѕһее Ме а РІауег. 


=" СМОМЕ2. Нажмите сочетание клавиш АК+Р2. Появится командная строка 
(Кип Арріісайоп), введите в ней гпуЕНтбох и нажмите Епќег. 


10. Чтобы сделать снимок рабочего стола с помощью клавиатуры, нажмите на кла- 
вишу Ргіпё Ѕсгееп (актуально для СМОМЕ З и СМОМЕ 2). Нажмите сочетание 
клавиш АЌ+Рипё Ѕсгееп, чтобы сделать снимок текущего окна. В обоих случаях 
снимок сохранится в папке Изображения в домашней папке. 


Глава 3. Использование оболочки 


1. Чтобы отключить виртуальные консоли и вернуться на рабочий стол в системах 
Еедога или ОЪипќи (эта функция отключена в некоторых системах КНЕГ.), вы- 
полните следующее: 


а) нажмите и удерживайте сочетание клавиш Сій+АЌ и нажмите Е2 (С-+АЕР2). 
Появится текстовая консоль; 


б) введите имя пользователя (нажмите клавишу Ещег) и пароль (нажмите кла- 
вишу Епќег); 


в) введите несколько команд, например 14, риа и 15; 
г) введите команду ехі+, чтобы выйти из оболочки и вернуться к входу в систему; 


д) нажмите сочетание клавиш Сій+АЌ+Р1, чтобы вернуться в виртуальную кон- 
соль вашего рабочего стола. (В разных системах Глпих рабочий стол может 
находиться в разных виртуальных консолях. Чаще всего они открываются 
с помощью сочетаний клавиш С+АЕЕ7 и Сіі+АК+Е2). 


2. Как сделать шрифт текста красным, а фон — желтым в окне Тегтта! (Терминал): 


а) на рабочем столе СМОМЕ выберите Арріісаііопѕ › бу%ет Тоо!$ > Тегтіпа! 
(Приложения » Системные утилиты » Терминал); 


б) в окне Тегтіпа! (Терминал) выберите пункт Еай » Ргоћіе Ргеѓегепсеѕ (Пара- 
метры » Профиль); 

в) выберите вкладку Соіогѕ (Цвета) и уберите выделение с пункта Џѕе соїогѕ ћот 
ѕуѕіет ћете (Использовать цвета из системной темы); 

г) установите флажок Техї Союг (Цвет текста), выберите красный цвет и нажми- 
те кнопку Ѕеіесї (Выбрать); 

д) установите флажок Васкодгоипа Сог (Цвет фона), выберите желтый цвет и на- 
жмите кнопку Ѕеіесі (Выбрать); 

е) закройте окно Ргойе Ргеѓегепсеѕ (Профиль). Цвет окна Тегтіпа! (Терминал) 
обновится до выбранного; 
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ж) снова установите флажок Це союг$ Нот ѕуѕќет ћете (Использовать цвета из 
системной темы), чтобы вернуться к настройкам по умолчанию. 


Как найти справочные страницы команд тоип+ и {гасера*н: 


а) запустите команду тоип+, чтобы найти местоположение команды в каталоге 
/иѕг/біп/тоип+ или в /61п/тоцп*; 


б) запустите команду 1осаќе +гасера+ћ, чтобы найти справочную страницу 
в каталоге /изг/5Паге/тап/тап8/Егасера*И.8. 57. 


Чтобы запустить, вызвать и изменить эти команды, введите следующее: 


$ саї /еїс/раѕѕма 
$ 15 $НОМЕ 
$ аа+е 


а) нажимайте на клавишу 7, пока не увидите команду саё /еёс/раѕѕма. Если 
курсор находится не в конце строки, переведите его в конец, нажав сочетание 
клавиш Сі1+Е. Нажмите клавишу Пробел над словом раѕѕма, введите слово 
Бгоир и нажмите клавишу Епќег; 


б) введите команду тап 15 и найдите параметр сортировки по времени (-+). 
Нажимайте клавишу Т, пока не увидите команду 15 НОМЕ. Используйте 
клавишу >» или сочетание клавиш АКВ, чтобы установить курсор слева от 
$НОМЕ. Введите -+, чтобы создать команду 1$ -+ $НОМЕ. Нажмите клавишу 
Епќег, чтобы запустить команду; 


в) введите тап дате, чтобы отобразить справочную страницу команды Яаќе. 
С помощью клавиши 1 вызовите команду дате и добавьте индикатор нужного 
формата. Формат %0 выводит результат в нужном виде: 


$ даже +%0 
04/27/20 


Используя автозаполнение команд, введите баѕепате/иѕг/ ѕћаге/аос/. Для этого 
наберите Баѕеп<Таб» / и<Таб>ѕһ<Таб>ао<Таб». 


Перенаправьте каталог /ефс/зегу1се$ в команду 1е55 с помощью контейнера: 
$ саї /еёс/ѕегуісеѕ | 1е5$. 


Сделайте вывод команды дате в формате Тодау 1$ Тпиг$Чау, Арг11 23, 2020: 


$ есһо "Тодау 1$ $(да+е +'А, ХВ %а, %у')" 


Просмотрите переменные, чтобы найти текущие имена хоста, пользователя, 
оболочки и домашних каталогов: 


есһо $НО$ТМАМЕ 
есһо $05ЕКМАМЕ 
есһо $$НЕШЕ 


$ 
$ 
$ 
$ есһо $НОМЕ 
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9. 


10. 


Как добавить постоянный псевдоним тураѕѕ, который отображает содержимое 
файла /еёс/раѕѕма: 
а) введите команду папо $НОМЕ/ .Ба$Игс; 


б) переместите курсор на открытую строку в нижней части страницы. (При 
необходимости нажмите клавишу Епќег, чтобы открыть новую строку); 


в) в отдельной строке введите а1іаѕ т="саї /ефс/ра$$ма"; 


г) нажмите сочетание клавиш Сіті+0, чтобы сохранить изменения, и СХ, что- 
бы закрыть файл; 


д) введите команду зоигсе $НОМЕ/ .Ба$Нгс; 


е) введите команду а1іаѕ т, чтобы убедиться в том, что псевдоним установлен 
правильно: а11а$ т=' саё/еїс/раѕѕма'; 


ж) введите команду т (файл /ес/раѕѕма появится на экране). 


Чтобы отобразить справочную страницу системного вызова тоип*, используйте 
команду тап -К. Затем примените команду моип* с правильным номером раз- 
дела (8), чтобы открыть нужную справочную страницу тоип*: 


$ тап -К моипе | 2гер ^тоипё 


мочи (2) - тоипЕ +#і1еѕуѕ+ет 

мочи (8) - тоипё а +11езузет 

тоипёроіпё (1) - ѕее 1+ а Яігесёогу 15 а тоипЁроіпё 

тоипёѕёаёѕ (8) - ріѕр1ауѕ уагіоиѕ М№Е5 с11епЕ рег-тоипе $$а%1$%1с$ 
$ тап 2 тоипЄ 

МОЦМТ (2) Гіпих Ргоёгаттег'$ Мапиа1 МОЦМТ (2) 

МАМЕ 


почпЕ - тоипе +11е ѕуѕбет 
ЅҮМ№ОР515 
#іпс1иае <ѕуѕ/тоипё.һ> 


Глава 4. Файловая система 


1. 


Создайте каталог ргојес+ѕ, девять пустых файлов (от һоиѕе1 до һоиѕе9) и пере- 
числите только эти файлы: 


$ ткаіг ФНОМЕ/ргојес+5/ 
$ +оисһ ФНОМЕ/ргојесЕѕ/һоиѕе{1..9} 
$ 15 ФНОМЕ/ргојесЕѕ/һоиѕе{1..9} 


Создайте путь к каталогу НОМЕ /ргојесіѕ /һоиѕеѕ/йоогѕ/ и несколько пустых 
файлов в нем: 


са 

ткаіг $НОМЕ /ргојесѕ/һоиѕеѕ 

оисһ $НОМЕ/ргојесіѕ/һоиѕеѕ/бипра1ом. хі 

ткаіг $НОМЕ /ргојесіѕ/һоиѕеѕ/Ӣоогѕ/ 

оисһ $НОМЕ/ргојесіѕ/һоиѕеѕ/аоогѕ/біғо1а. хі 

ткаіг -р $НОМЕ/ргојесЕѕ /оиїаӢоогѕ/мере+а+іоп/ 

оисһ $НОМЕ/ргојесіѕ /оиӣоогѕ /мереа+іоп/1апӣѕсаре. хі 


е 69 65 5 ња 5 


10. 
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Скопируйте файлы һоиѕе1 и һоиѕе5 в каталог ФНОМЕ/ргојес+ѕ/һоиѕеѕ/: 


$ ср $НОМЕ/ргоЗес+$/пои$е[15] ФНОМЕ/ргојесЕѕ/һоиѕеѕ 


Рекурсивно скопируйте каталог /иѕг/ ѕһаге/аос/іпіїѕсгіріѕ* в домашний 
каталог $НОМЕ /ргојесі5/: 


$ ср -га /и5г/зПаге/4ос/1п14$сг1ре5*/ $НОМЕ/рго]ес*$/ 


Рекурсивно перечислите содержимое каталога $НОМЕ/ргојесёѕ/. Передайте вы- 
ходные данные в команду 1еѕ5, чтобы просмотреть их на странице: 


$ 15 -1К ФНОМЕ/ргојесё5/ | 1е$$ 

Удалите файлы һоиѕеб, Ноизе7 и һоиѕе8 без запроса о подтверждении: 

$ гт -+ ФНОМЕ/ргојесЕѕ/һоиѕе[678] 

Переместите файлы һоиѕез и һоџѕе4 в каталог $НОМЕ/рго]ес*$ /поизез/4оогз: 
$ ту $НОМЕ/ргојесѕ/һоиѕе{ 3,4} $НОМЕ/рго]ес*$/поизе$/4оог$/ 


Удалите каталог НОМЕ /ргојесёѕ/һоиѕеѕ/іоогѕ и его содержимое: 


$ гт -гЕ ФНОМЕ/ргојесёѕ /һоиѕеѕ/ӣоогѕ/ 


Измените права доступа к файлу $НОМЕ/ргојесёѕ /һоиѕе2 таким образом, чтобы 
он мог быть прочитан и записан только владельцем, мог быть прочитан только 
группой и не имел прав для других: 


$ сһтоа 640 ФНОМЕ/ргојесЕѕ /һоиѕе2 


Рекурсивно измените права каталога НОМЕ /ргојесїѕ/ так, чтобы никто не мог 
записывать ни в какие файлы или каталоги, расположенные ниже этой точки 
файловой системы: 


$ сһтоа -В а-м $НОМЕ/ргојесѕ/ 

$ 15 -1К ФНОМЕ/ргојес+ѕ/ 

/һоте/јое/ргојесі5/: 

фофа1 12 

-г--г--г--. 1 јое јое 0 Зап 16 06:49 һоиѕе1 
-г--г-----. 1 јое јое Ө Зап 16 06:49 һоиѕе2 
-г--г--г--. 1 јое јое 90 Зап 16 06:49 һоиѕе5 
-г--г--г--. 1 јое јое 0 Зап 16 06:49 һоиѕе9 
аг-хг-хг-х. 2 јое јое 4096 Зап 16 06:57 һоиѕеѕ 


аг-хг-хг-х. 2 јое јое 4096 3и1 1 2014 іпіёѕсгірёѕ-9.03.40 


аг-хг-хг-х. 3 јое јое 4096 Зап 16 06:53 оцЕдоог$ 
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Глава 5. Работа с текстовыми файлами 


1. 


Выполните следующие команды, чтобы создать файл /+тр/ зег\1се$, а затем 
отредактировать его так, чтобы название мог1аи1 даемеь отображалось как мог1а 
міае Мер: 

$ ср /еїс/ѕегуісеѕ /+тр 

$ уі /Етр/ѕегуісеѕ 

/мМог1амідемебр <Епфег> 

смлог1а міде меб <Еѕс> 


Следующие две строки показывают исходный текст и результат: 


һер 80/+ср мм ммм Һер # Мог1аміаемер НТТР 
һер 80/+ср мм ммм Һер # Мог1а и14е Меб НТТР 


Один из способов переместить абзац в файл /тр/ѕегуісеѕ — это найти первую 
строку абзаца, удалить пять строк (54а), перейти к концу файла (6) и вставить 
текст (р): 

$ уі /Етр/ѕегуісеѕ 

/Мофе һа 1% 15<Епёег> 


5аа 
б 


р 


Чтобы использовать режим ех для поиска термина +ср (чувствительного к ре- 
гистру) в файле /тр/ѕегуісеѕ и изменить его на ИНАТЕ\МЕКВ, введите следующее: 


$ уі /&тр/зег\у1се$ 
:5/&ср/$/ /МНАТЕМЕКВ / <Еп*ег> 


Чтобы найти в каталоге /еєс каждый файл с именем раѕѕма и перенаправить 
ошибки из поиска в каталог /деу/пи11, введите следующее: 


$ Ғіпа /ефс -пате раѕѕма 2> /4еу/пи11 


Создайте в своем домашнем каталоге каталог ТЕЗТ. Создайте в нем файлы 
с именем опе, мо и +һгее, которые имеют полные права на чтение/запись/вы- 
полнение для всех (пользователя, группы и др.). Введите команду +1па, которая 
найдет эти файлы и любые другие файлы, имеющие права на запись, открытые 
для «других» из вашего домашнего каталога и расположенные ниже: 


$ ткаіг $НОМЕ/ТЕ$Т 

$ +оисһ $НОМЕ/ТЕ$Т/{опе, мо, Пгее} 

$ сһтоа 777 $НОМЕ/ТЕЅТ/{опе, Емо, Ёһгее} 

$ Ғіпа $НОМЕ -регт -@02 -+уре + -15 

148120 Ө -гихгихгих 1 сһгіѕ сһгіѕ 09 Зап 1 08:56 /һоте/сһгіѕ/ТЕЅТ/ Емо 
148918 Ө -гихгихгих 1 сһгіѕ сһгіѕ Ө Зап 1 08:56 һоме/сһгіѕ5/ТЕЅТ/Еһгее 
147306 Ө -гихгихгих 1 сһгіѕ сһгіѕ 09 Зап 1 08:56 /һоте/сһгіѕ/ТЕЅТ/оПе 


Найдите в каталоге /изг/зПаге/4ос файлы, которые не изменялись более чем 
300 дней: 


$ Ғіпа /изг/5Паге/аос -тёіте +300 


7. 


10. 
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Создайте каталог /&тр/ЕТЕЕ$. Найдите в каталоге /иѕг/ѕһаге все файлы раз- 
мером более 5 и менее 10 Мбайт и скопируйте их в каталог /Етр/ЕТЕЕ$: 


ткаіг /+тр/ЕТЬЕ$ 

Ғіпа /иѕг/ѕһаге -$12е +5М -$12е -10М -ехес ср {} /Етр/ЕІГЕЅ \; 
ач -5һ /Етр/ЕТЬЕЕ$/* 

.6М /Етр/ЕТЕЕ$/В191СПагасеегТе$+.+х+ 

.6М /Етр/ЕТЕЕ$/В191Те$+ .+х 

.2М /тр/ЕІГЕЅ/аау.јре 


л мыо ы ~ ~ 


Найдите в каталоге /+тр/ЕТЕЕ$ все файлы и сделайте резервную копию каждо- 
го здесь же. Используйте существующее имя каждого файла и добавьте файл 
.тубаскир для создания резервных копий: 


Ғіпа /+тр/ЕТЕЕ$/ -фуре + -ехес ср {} {}.туБаскир \; 


Установите пакет Кегпе1 -дос в Еедога или Кеа Наѓ Ещегрт1зе Глпих. Используя 
команду вгер, найдите в файлах, содержащихся в каталоге /иѕг/ѕһћаге/аос/ 
кегпе]1 -4ос*, термин е1000 (без учета регистра) и перечислите имена файлов, 
содержащих его: 

# уит іпѕ+а11 Кегпе1-4ос 

$ са /изг/$Ваге/аос/Кегпе1-дос* 

$ вгер -г11 е1000 . 


. /Ооситепёа+іоп/ромегрс/бооёіпе -міёћои+ -о#. хі 
. /Ооситепёа+іоп/пемогкіпе /е100.6х 


Снова найдите термин е1000 в том же месте. Однако на этот раз перечислите 
каждую строку, содержащую термин, и выделите его цветом: 


$ са /иѕг/ѕһағге/аос/Кегпе1-Яос-* 
$ ргер -гі --со1ог е1000 . 


Глава 6. Управление активными процессами 


1. 


Чтобы перечислить все процессы, запущенные в вашей системе, с полным набо- 
ром столбцов и передать выходные данные в команду 1еѕ5, введите следующее: 


$ рѕ -е+ | 1еѕ5 

Чтобы перечислить все процессы, запущенные в системе, и отсортировать их 
по имени пользователя, выполняющего каждый процесс, введите следующее: 
$ рѕ -е+ --ѕогё=иѕег | 1е55 

Чтобы вывести список всех процессов, запущенных в системе, со столбцами 
имени, идентификатора процесса, имени пользователя, названия группы, прио- 


ритета, размера виртуальной памяти, размера оперативной памяти и команды, 
введите следующее: 


$ рѕ -ео 'ріа, изег, вгоир, пісе, №52,г55,сотт' | 1е55 
РТБ У$ЕК СКО0Р МТ №52 А55 СОММАМО 
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1 гоо гоо 0 19324 1236 іпії 

2 гоо гоо ө е Ө КЕПгеаада 

3 гоо гоо - е 9 мівгатіоп/е 
4 гоо гоо ө е Ө КѕоҒёігаа/е 


4. Чтобы запустить команду Фор, а затем отсортировать данные по использованию 
процессора и памяти, введите следующее: 
$ фор 
р 
М 


Р 
М 


5. Чтобы запустить процесс веаі+ с рабочего стола и использовать окно Ѕуѕіет 
МопКог (Системный монитор) для его завершения, выполните следующие дей- 
ствия: 


$ веа1* & 


Далее в СМОМЕ 2 выберите Арріісаїіопѕ » Ѕуѕіет Тоо! > Ѕуѕіет Мопіќог (При- 
ложения % Системные утилиты › Системный монитор). Ав СМОМЕ 3 с экрана 
Арріісайопѕ (Приложения) введите 5ует Мопйог и нажмите клавишу Епќег. Най- 
дите процесс веаі+ на вкладке Ргосеѕѕеѕ (Процессы). Вы можете отсортировать 
процессы по алфавиту, щелкнув на заголовке. Щелкните правой кнопкой мыши 
на команде веӣі+ и выберите вариант либо Епа Ргосеѕѕ (Завершить), либо КИ 
Ргосеѕѕ (Убить). Окно дед на экране должно исчезнуть. 


6. Чтобы запустить процесс вед1* и использовать команду кі11 для отправки 
сигнала на паузу (остановку) этого процесса, введите следующее: 
$ веа1* & 
[1] 21532 


$ Кі11 -5165ТОР 21532 

7. Чтобы использовать команду кі11а11 для указания команде ред1* (приостанов- 
ленной в предыдущем упражнении) продолжить работу, выполните следующее: 
$ кі11а11 -51ССОМТ реа1* 
Убедитесь, что текст, который вы набрали после того, как приостановили ко- 
манду веа1т, теперь появляется в окне. 


8. Чтобы установить команду хеуез, запустите ее около 20 раз в фоновом режиме 
и запустите кі11а11, чтобы убить все 20 процессов хеуеѕ одновременно: 


# уит 11$%а11 хогр-х11-аррѕ 
$ хеуеѕ & 
$ хеуеѕ & 


$ кі11а11 хеуеѕ & 


10. 


Приложение Б. Ответы к упражнениям 871 


Помните, что вы должны быть суперпользователем, чтобы установить пакет. 
После этого не забудьте повторить команду хеуез 20 раз. Распределите окна по 
всему экрану и двигайте мышь, чтобы наблюдать за движением глаз. Все окна 
хеуеѕ должны исчезнуть сразу же, как только вы наберете команду кі11а11 хеуеѕ. 


От имени обычного пользователя запустите команду веа1* с приоритетом 5: 

# пісе -п 5 реаії & 

[1] 21578 

Чтобы изменить значение приоритета запущенной команды веӣі+ на 7, введите 
команду гепісе: 

# гепісе -п 7 21578 

21578: о1а ргіогіёу 9, пем ргіогі+у 7 

Используйте любую команду, чтобы убедиться, что текущее значение приори- 
тета для команды реаӣі+ теперь равно 7. Например, можете ввести следующее: 


# рѕ -ео 'рій, иѕег, пісе, сотт' | ёгер вед 
21578 сһгіѕ 7 реаі+ 


Глава 7. Простые скрипты оболочки 


1. 


Пример создания в своем каталоге $НОМЕ/Біп скрипта под названием туомп- 
ѕсгірі. При запуске скрипт должен выводить следующую информацию: 


Сегодня Ѕаї Јип 10 15:45:04 ЕРТ 2019. 
Вы находитесь в каталоге /һоте/јое, и ваш хост-адрес — абс.ехатр1е. сот. 


Далее приведен один из способов создания скрипта с именем туомпѕсгірї: 

а) создайте каталог біп, если его нет: 
$ ткаіг $НОМЕ/Ьіп 

б) используя любой текстовый редактор, создайте скрипт с именем $НОМЕ/Біп/ 
туомпѕсгір+, содержащий следующее: 


#1! /Б1п/Ба$В 

# туомп$сг1ре 

# Перечислите сведения о вашей текущей системе. 

есһо "Сегодня $(дата)." 

есһо "Вы находитесь $(рмӣ) и ваш хост-адрес - $(по$%пате) ." 


в) сделайте скрипт исполняемым: 
$ сһтоа 755 ФНОМЕ/Біп/туомпѕсгірЁ 


Создайте скрипт, который считывает три позиционных параметра из командной 
строки и присваивает эти параметры переменным с именами ОМЕ, ТМО и ТНВЕЕ 
соответственно. Кроме того, замените Х на количество параметров, а У — на все 
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введенные параметры. Затем замените А содержимым переменной ОМЕ, В — пере- 
менной ТМО и С — переменной ТНВЕЕ, как показано далее: 


а) 


б) 


чтобы создать скрипт, откройте файл с именем $НОМЕ/біп/туроѕііоп и до- 
бавьте следующее содержимое: 

#1/6біп/баѕћ 

# пуроѕі+іоп 

ОМЕ=$1 

Т00=$2 

ТНВЕЕ=$3 

есһо "Существует $# параметров, которые включают в себя параметр $@" 
есһо "Первый — это $ОМЕ, второй — это $ТМО, третий — это $ТНКЕЕ." 


чтобы сделать скрипт с именем ФНОМЕ/біп/туроѕібіоп исполняемым, введите 
следующее: 


$ сһтоа 755 $НОМЕ/Ьіп/туроѕі+іоп 


чтобы проверить скрипт, запустите его с несколькими аргументами команд- 
ной строки, как показано далее: 


$ туроѕі+іоп Мһеге 15 Му На+ Виаду? 

Существует 5 параметров, которые включают в себя параметр: МНеге Т$ Му 
На Виаау? 

Первый — это Мһеге, второй — это Іѕ, третий — это Му. 


3. Чтобы создать описанный скрипт, выполните следующие действия: 


а) 


б) 


а) 


создайте файл с именем $НОМЕ /61п/тупоте и сделайте его исполняемым: 


$ +оисһ ФНОМЕ/Ьіп/туһоте 
$ сһтоа 755 $НОМЕ/Ьіп/туһоте 


пример того, как может выглядеть скрипт тупоте: 


#1/6біп/баѕћ 

# туһоте 

геаа -р "На какой улице вы выросли?" туѕёгееЁ 

геаа -р "В каком городе вы выросли?" туёомп 

есһо "Я вырос на улице под названием $туѕёгееї в городе Фтуёомп." 


запустите скрипт, чтобы убедиться, что он работает. В следующем примере 
показано, как могут выглядеть входные и выходные данные для него: 


$ туһоте 

На какой улице вы выросли? Наггіѕоп 

В каком городе вы выросли? Рг1псефоп 

Я вырос на улице под названием Наггіѕоп в городе Ргіпсе+оп. 


Чтобы создать требуемый скрипт, выполните следующие действия: 


используя любой текстовый редактор, создайте скрипт с именем $НОМЕ/61п/ 
туоѕ и сделайте его исполняемым: 


$ +оисһ $НОМЕ/Ь1п/туо$ 
$ сһтоа 755 $НОМЕ/Біп/туоѕ 
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б) скрипт может содержать следующее: 


#1/біп/баѕћ 
# туо$ 
геаа -р "Ваша любимая операционная система — тас05, Міпӣомѕ или 11пих? " 
орзу$ 
1+ [ $орѕуѕ = тас05 ] ; &һеп 

есһо "тас05 - хороший выбор, но он недостаточно хорош для меня." 
е11+ [ $орзу$ = Міпӣомѕ ] ; ©һеп 

есһо "Как-то я использовал Міпӣомѕ. Для чего этот синий экран?" 
е11+ [ $орзу$ = 11пих ] ; еп 

есһо "Отличный выбор!" 
е1ѕе 

есһо "Разве $орѕуѕ – это операционная система?" 
11 


5. Чтобы создать скрипт с именем $НОМЕ/61п/ап1та1$, который проходит через 
слова «мышь», «корова», «гусь» и «свинья» и через цикл +ог и добавляет каждое 
из них в конец строки «У меня есть...», выполните следующие действия: 


а) сделайте скрипт исполняемым: 


$ Тоисһ $НОМЕ/Ь1п/ап1та1$ 
$ сһтоа 755 $НОМЕ/Ь1п/ап1та1$ 


б) скрипт может содержать следующее: 


#1 /бріп/баѕћһ 

# ап1та1$ 

Фог АМІМАІ5 іп тооѕе сом рооѕе ом ; Яо 
есһо "У меня есть ФАМІМАІ5" 

аопе 


в) при запуске скрипта выходные данные должны выглядеть так: 


апіта15 

меня есть мышь 
меня есть корова 
меня есть гусь 
меня есть свинья 


<<< <ә 


Глава 8. Системное администрирование 


1. Чтобы запустить интерфейс СосКрі в своей системе, введите следующее: 


# ѕуѕёетс+1 епаБ1е --пом соскр1*.зоскее 
Сгеафе ѕут1іпк /еЁс/ѕуѕёета/ ѕуѕ+ет/ ѕоске+ѕ .+агве{.мап{$/соскр1* .зоскКее 
=» /иѕр/116/ѕуѕ&ета/ѕуѕёет/ соскрії. ѕоске 


2. Чтобы открыть интерфейс Соскрі в браузере, введите имя хоста или ТР-адрес 
системы, поддерживающей службу, а затем номер порта 9090. Например, на- 
берите в адресной строке браузера следующее: 


ВЕЕр$://Но$+1.ехатр1е.сот:9090/ 
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3. Чтобы найти в каталоге /уаг/ѕроо1 все файлы, принадлежащие пользовате- 
лям, отличным от суперпользователя, и вывести их длинный список, введите 
следующее (я рекомендую войти от имени суперпользователя, чтобы найти 
недоступные для других пользователей файлы): 
$ зи - 

Раз$мога: *****жжж* 
# Ғіпа /уаг/$роо1 -поф -изег гоо -15 | 1е55 


4. Чтобы стать суперпользователем и создать пустой или обычный текстовый файл 
с именем /тпе/{е$+.+хф, введите следующее: 


$ си - 

Раѕѕмога: ЖЖЖЖЖЖЖЖЖ 

# Тоисһ /тпЕ/еѕ+. Ех 

$ 15 -1 /тпЕ/еѕ+. хі 

-Ги-г--Г--. 1 гооЁ гооЁ ё Зап 9 21:51 /тпі/+еѕі.Ехі 


5. Чтобы стать суперпользователем и отредактировать файл /еёс/ѕийоегѕ так, 
чтобы ваша обычная учетная запись пользователя (например, 6111) получала 
полные привилегии суперпользователя с помощью команды ѕиао, введите: 
$ ѕи - 

Раѕѕмога: ******+** 
# уіѕидо 
о 


6111 АЕЕ= (АЕ) АШ 
Еѕс 22 


Поскольку команда уіѕиӣо открывает файл /еёс/ ѕийоегѕ в редакторе уі, в при- 
мере вводится параметр о, который открывает строку, а затем пишет в ней, 
чтобы дать пользователю 6111 полные привилегии суперпользователя. 


После ввода строки нажмите клавишу Еѕс, чтобы вернуться в командный режим, 
и введите 22, чтобы записать и выйти. 


6. Чтобы с помощью команды ѕиао создать файл /тпё/ёеѕ+2.х+ и убедиться, что 
он находится там и принадлежит суперпользователю, введите следующее: 


[0111]$ ѕидо +оисһ /тп/еѕ+2.+х+ 
Ме гиѕ& уои һаме гесе1уеа һе ичзиа1 1есфиге Ғгот Ве 1оса1 Ѕуѕ+ет 
АатіпіѕЕгатог. ІЁ изиа11у Бо11$ аомп Фо Ёһеѕе +һгее Ёһіпеѕ: 
#1) КезресЕ {Ве рг1уасу оф оЁһегѕ. 
#2) Тһіпк Бефоге уои +уре. 
#3) Міһ вгеаЕ ромег сотез вгеа{ геѕропѕіБі1і+у. 
[зчао] раѕѕмога Ғог 6111: **ж*жжжжж 
[6111]$ 15 -1 /мпе/ехе2. хе 
-ги-г--г--. 1 гооЁ гоо @ Зап 9 23:37 /тпЕ/%ехЕ2. хі 


7. Чтобы смонтировать и размонтировать ОЗВ-накопитель и просмотреть систем- 
ный журнал: 
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а) выполните команду јоигпа1с1 -+ от имени суперпользователя в окне Тегтіпа! 
(Терминал) и проследите за выводом в течение следующих нескольких шагов: 


# јоигпа1с+1 -#Ғ 

Зап 25 16:07:59 һоѕ+2 Кегпе1: изЬ 1-1.1: пем һівһ-ѕрееа ОЅВ Яеуісе 
питбег 16 иѕіпе еһсі-рсі 

Зап 25 16:07:59 һоѕ+2 Кегпе1: изб 1-1.1: Мем УЗВ аеу1се Фоипа, 
1А\епаог=@еа@, іаргоаис=2168 

Зап 25 16:07:59 По${2 Кегпе1: изЬ 1-1.1: Мем ОЅВ Яеуісе $%г1пв5: 
МЕг=1, Ргойисё=2, Ѕегіа1№итбег=3 

Зап 25 16:07:59 һоѕ+2 Кегпе1: изЬ 1-1.1: Ргоаисё: Е1аѕһ 01$К 

Зап 25 16:07:59 һоѕ+2 Кегпе1: изЬ 1-1. Мапи+Ғасёигег: ОЅВ 


њћ 


Зап 25 16:08:01 һоѕ+2 Кегпе1: 5а 18:0:0:0: [546] иг1{е Ргоёесі 1$ оф 
Зап 25 16:08:01 һоѕ+2 Кегпе1: $4 18:0:0:0: [5а6] 
Аѕѕитіпе гіме сасһе: мгіёе Ёһгоивһ 
Зап 25 16:08:01 һоѕї2 Кегпе1: 50: $461 
Зап 25 16:08:01 һоѕ+2 Кегпе1: $4 18:0:0:0: [$46] 
АЕфасНея $С5Т гетоуаб1е 41$К 


б) подключите ОЅВ-накопитель, который автоматически монтирует файловую 
систему с этого диска. Если этого не происходит, выполните на втором тер- 
минале следующие команды (от имени суперпользователя), чтобы создать 
каталог точки монтирования и смонтировать устройство: 


$ ткаіг /тп/ееѕ 
$ моипе /деу/5а61 /тпЕ/еѕЕ 
$ итоипЕ /аем/5а61 


Чтобы узнать, какие О5В-устройства подключены к вашему компьютеру, вве- 
дите команду: 

$ 15и56 

Чтобы загрузить модуль Ьєєу, укажите модули, которые уже были загружены, 
и загрузите его, введя следующее: 


# тоаргобе -а БУ 
# 1ѕтоа | егер Ьу 


іу 167936 Өө 

{еа575х 16384 1 БУ 

\уеергот 28672 1 БУ 

у1деоби{_ ата 5р 24576 1 БУ 

уіаеоби+# соге 32768 2 у1аеоБи+ ата_$в , БУ 
\412_соттой 16384 1 БУ 

уідеойеу 233472 3 +еа575х,%412 соттоп, БУ 
12с а16о Бії 16384 1 БУ 


Обратите внимание на то, что при загрузке б++у другие модули (\412_соттоп, 
уідеодеу и др.) также были загружены с помощью команды тодргобе -а. 
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10. Введите следующие команды, чтобы удалить модуль б++у с модулями, которые 
были загружены вместе с ним. Убедитесь, что все они исчезли после запуска 
команды тоаргобе -г: 


# тоаргобе -г БУ 
# 1ѕтоа | егер БЕ 


Глава 9. Установка Шпих 


1. Чтобы установить систему Еейога с помощью «живого» носителя Еейога Тлуе 
тета, следуйте инструкциям, приведенным в разделе «Установка Ее4ога с “жи- 
вого” носителя» главы 9. Инструкция включает в себя следующие шаги: 


а) загрузку «живого» носителя; 
б) выбор загрузки на жесткий диск при запуске системы; 


в) добавление информации с общей страницы, необходимой для первоначаль- 
ной настройки системы; 


г) перезагрузку компьютера и удаление «живого» носителя, чтобы вновь уста- 
новленная система загрузилась с жесткого диска. 


2. Чтобы обновить пакеты после завершения установки Еейога Тлуе, выполните 
следующие действия: 


а) перезагрузите компьютер и ответьте на первые вопросы загрузки; 


б) используя проводное или беспроводное соединение, убедитесь, что вы под- 
ключены к Интернету. Обратитесь к главе 14 «Администрирование сети», 
если возникли проблемы с подключением к Интернету. Откройте оболочку 
от имени суперпользователя и введите команду ѕидо ап+ ирда*е; 


в) при появлении приглашения введите у, чтобы принять появившийся список 
пакетов. Система начнет загружать и устанавливать их. 


3. Чтобы запустить установку системы ВНЕГ. в текстовом режиме, выполните 
следующие действия: 

а) загрузите ОУО-носитель ВНЕГ; 

б) при появлении меню загрузки выделите один из вариантов загрузки уста- 
новки и нажмите клавишу Тар. Переместите курсор вправо, в конец строки 
ядра, и введите там параметр ех. Нажмите клавишу Епќег, чтобы запустить 
программу установки; 


в) попробуйте выполнить остальную часть установки в текстовом режиме. 


4. Чтобы настроить разделы диска для установки рур Ве4 На Ерѓегргіѕе Глпих, 
выполните следующие действия: 
а) в компьютер, на котором можно стереть не менее 10 Гбайт дискового про- 
странства, вставьте установочный РУР ВНЕЕГ, перезагрузите систему и ис- 
пользуйте установочные экраны; 
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б) перейдя к экрану Іпѕќаайоп Ѕиттагу (Обзор установки), выберите пункт 
Тп&аНабоп Оеѕіпайоп (Местоположение установки); 

в) в окне ІпѕїаПайоп Сеѕіпайоп (Местоположение установки) выберите устрой- 
ство для установки (устройство $да, если у вас один жесткий диск, который 
можно полностью стереть, или уда для виртуальной установки); 

г) нажмите кнопку Сиѕіот (Вручную); 

д) нажмите кнопку Оопе (Готово), чтобы перейти к экрану создания разде- 
лов; 

е) если существующее дисковое пространство уже занято, необходимо удалить 
разделы; 

ж) нажмите кнопку с плюсом (+) в нижней части экрана. Затем добавьте каж- 
дую из следующих точек монтирования: 


/рооЁ - 400М 
/ - 36 

/маг - 26 
/поте -26 


з) нажмите кнопку Оопе (Готово). Появится обзор изменений; 


и) если изменения подходят, нажмите кнопку Ассерї Сһапдеѕ (Принять измене- 
ния). Если вы практикуетесь и на самом деле не хотите менять свои разделы, 
нажмите кнопку Сапсе! & Веѓит (Отменить и вернуться) к пользовательскому 
разделению. Затем выйдите из программы установки. 


ПРИМЕЧАНИЕ 


Этот процесс в конечном итоге удалит все содержимое жесткого диска. Если вы хотите использовать упражнение, 
чтобы попрактиковаться в разбиении на разделы, можете перезагрузить компьютер перед началом фактическо- 
го процесса установки, не повредив жесткий диск. После того как вы перейдете дальше и сохраните разделение, 
все данные будут удалены. 


Глава 10. Управление программами 

1. Чтобы найти в репозитории УОМ пакет, предоставляющий команду товгі+у, 
введите следующее: 
# уит ргоуійеѕ тоёг1Фу 


2. Чтобы отобразить информацию о пакете, предоставляющем команду товг1 у, 
и определить, какая у него домашняя страница (О ВТ.), введите следующее: 


# ушт 1п+о ІтареМаріск 


Вы увидите, что ОКІ -адрес домашней страницы ПпазеМаесК — это ммм таде- 
тадіск.огд. 
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3. Чтобы установить пакет, содержащий команду товгі+у, введите следующее: 


# уит іпѕъа11 ІтареМаріск 


4. Чтобы перечислить все файлы документации, содержащиеся в пакете команды 
то5г1у, введите следующее: 


# грт -44 ІтареМаріск 
/иѕг/ѕһаге/аос/ІтареМаріск/ КЕАРмЕ . +х+& 


/иѕг/ѕһаге/тап/тап1/іаепіі+у.1.р2 
/иѕг/ѕһаге/тап/тап1/ітрогі.1. рг 
/иѕг/ѕһаге/тап/тап1/товгі+у.1.р2 


5. Чтобы просмотреть журнал изменений пакета команды товгіў+у, введите следу- 
ющее: 


# грт -4 --сһапве1ов Ттаремар1ск | 1е$$ 


6. Чтобы удалить команду товгіғу из системы и проверить ее пакет по базе данных 
КРМ, убедившись, что эта команда действительно удалена, введите следующее: 
# фуре мовг1у 
поргі+у 1$ /и5г/Б1п/товг1 Ру 
# гт /иѕг/бріп/товгі+у 
гт гетоуе гери1аг +11е ' /иѕг/біп/торгі+у'? у 
# грт -М ІтареМаріск 
1155112 /иѕг/біп/торгі+у 


7. Чтобы переустановить пакет, предоставляющий команду товгі+у, и убедиться, 
что весь пакет снова установлен, введите следующее: 


# уит геіпѕ+а11 ІтағреМаріск 
# грт -М ІтареМаріск 


8. Чтобы загрузить пакет, предоставляющий команду товгіғу, в текущий каталог, 
введите следующее: 


# уит аомп1оаа ІтареМаріск 
ІтасеМаріск-6.9.10.28-1.#с30.х86 64.грт 


9. Чтобы отобразить общую информацию о пакете, который вы только что загру- 
зили, запросив файл КРМ пакета в текущем каталоге, введите следующее: 


# грт -дїір ІтареМаріск-6.9.10.28-1.#с30.х86 64.грт 


Мате : ІтареМаріск 
Еросћһ 1 
Мегѕіоп : 6.9.10.28 


Ке1еаѕе  1.7с30 
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10. Чтобы удалить пакет, содержащий команду товг1 у, из своей системы, введите 
следующее: 


# уит гетоме ІтареМаріск 


Глава 11. Управление учетными записями 


Для выполнения упражнений, связанных с добавлением и удалением учетных 
записей пользователей, можно применять окно Оѕегѕ (Пользователи), программу 
Оѕег Мападег (Менеджер пользователей) или инструменты командной строки, на- 
пример команды изегада и иѕегтоа. Чтобы получить те же результаты, которые 
даны в ответах, не обязательно выполнять упражнения только описанным здесь 
способом. 

Существует множество путей достижения одних и тех же результатов. Приве- 
денные далее ответы показывают, как выполнить упражнения из командной строки. 
(Станьте суперпользователем, когда увидите приглашение.) 


1. Чтобы добавить локальную учетную запись пользователя в систему Глпих 
с именем јбахїег и полным именем Јоһп Вахфег, которая применяет /61п/$П 
в качестве оболочки по умолчанию и имеет следующий доступный ОТО (ваш 
может отличаться от показанного), введите следующее. Можете применить ко- 
манду вгер для проверки новой учетной записи пользователя. Затем установите 
пароль Му131+еди+ для пользователя јбахёег: 


# иѕегааа -с "Јоһп Вахёег" -5 /61п/$В јбах+ег 

# ргер јбахїег /еїс/раѕѕма 

јрахіег:х:1001:1001:Јоһп Вах{ег: /һоте/јбах+ег: /біп/ѕһ 
# раѕѕма јбах+ег 

Сһапріпе раѕѕмога Фог изег јбах+ег 

Мем раѕѕмога: Му1№1+еди+! 

Вефуре пем раѕѕмога: Му1№1+еёи+! 

раѕѕма: а11 аиёһепёіса+іоп окепѕ ирӣа+еа ѕиссеѕѕҒи11у 


2. Чтобы создать учетную запись группы с именем еѕёіпе, использующую иден- 
тификатор группы 315, введите следующее: 


# егоирада -= 315 +еѕ+іпе 
# ргер +еѕъіпе /ес/ргоир 
+еѕбіпе:х:315: 


3. Чтобы добавить јбах+ег в группу ќеѕ+іпр и группу біп, введите следующее: 


# иѕегтоӣ -аб +еѕііпе,біп јбрах+ег 
# егер јбах+ег /ефс/вгоир 
ріп:х:1: біп, ааетоп, јбахёег 
јрахіег:х:1001: 
+еѕбіпе:х:315:јрахёег 
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4. Чтобы стать пользователем ЭБахеег и временно сделать группу ќеѕёіпе группой 
Эбахеег по умолчанию, запустите файл Фоисй /һоте/јбахег/Ғі1е.хї так, чтобы 
группа +еѕ+іпе была назначена в качестве его группы: 


$ зи - јЬах+ег 

Раѕѕмога: Му1№1+еди+! 

5һ-4.2$ пемегр +еѕ+іпр 

5һ-4.2%$ +оисһ /һоте/јбах+ег/Ғі1е.іх+ 

$й-4.2$ 15 -1 /һоте/бах+ег/Ғі1е.хі 

-ги-ги-г--. 1 Эбахфег еѕ+іпе 0 Јап 25 06:42 /һоте/јбахёег/Ғі1е.хі 
$п-4.2$ ехії ; ехії 


5. Обратите внимание на то, какой идентификатор пользователя был назначен 
пользователю јбахёег, а затем удалите учетную запись пользователя, не удаляя 
домашний каталог, назначенный для )Бахеег: 


$ иѕегае1 јЬах+ег 


6. Примените следующую команду, чтобы найти в каталоге /һоте (и любых под- 
каталогах) все файлы, назначенные идентификатору пользователя, который 
недавно принадлежал пользователю с именем јђахѓег. (У меня оба идентифи- 
катора, ОТО и СІР, были 1001, ваши могут отличаться.) Обратите внимание 
на то, что имя пользователя јбахќег больше не назначается в системе, поэтому 
любые файлы, созданные пользователем, перечислены как принадлежащие 
к О 1001 и СІР 1001, за исключением нескольких файлов, которые были 
назначены группе &еѕёіпе из-за команды пемегр, выполненной ранее: 


# Ғіпа /һоте -иіа 1001 -15 

262184 4 агих------ 4 1001 1001 4096 Зап 25 08:00 /һоте/јбах+ег 

262193 4 -гм-г--г-- 1 1001 1001 176 Зап 27 2011 /поте/]БахЕег/.БазН_ 
рго-+11е 

262196 4 -гм------- 1 13602 че$Е1пт8 93 Зап 25 08:00 /һоте/јбахёег/.Ббаѕһ_ 
һіѕ+огу 

262194 @ -ги-гм-г-- 1 13602 +еѕ+іпе Ө Зап 25 07:59 /һоте/јбахёег/Ғі1е.хі 


7. Выполните приведенные далее команды, чтобы скопировать файл /еєс/ ѕегуісеѕ 
в каталог /еёс/ѕке1/, затем добавьте в систему нового пользователя с именем 
пјопеѕ, полным именем Магу Јопеѕ и домашним каталогом /һоте/тагујопеѕ. 
Укажите ее домашний каталог, чтобы убедиться, что файл служб находится 
там: 


# ср /ефс/зегу1сез /еЁс/5ке1/ 

# иѕегааа -4 /һоте/тагујопеѕ -с "Магу Јопеѕ" тјопеѕ 

# 15 -1 /һоте/тагујопеѕ 

{0офа1 628 

-ги-г--г--. 1 тјопеѕ мјопеѕ 640999 Зап 25 06:27 ѕегуісеѕ 


8. Выполните следующую команду, чтобы найти в каталоге /һоте все файлы, 
принадлежащие тјопеѕ. Если вы выполняли упражнения по порядку, обра- 
тите внимание на то, что после удаления пользователя с самыми высокими 


10. 
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Т” пользователя и группы его номера были присвоены пользователю тјопеѕ. 
В результате все файлы, оставленные в системе јбах+ег, теперь принадлежат 
тјопеѕ (по этой причине вы должны удалить или изменить владельца файлов 
оставшихся после удаления пользователя): 


# Ғіпа /һоте -иѕег тјопеѕ -15 

262184 4 агих------ 4 т]опез мјопеѕ 4096 Јап 25 08:00 /һоте/јбах+ег 

262193 4 -ги-г--г-- 1 тјопеѕ тјопеѕ 176 Зап 27 2011 /һоте/јбах+ег/.баѕһ_ 
рго+11е 

262189 4 -ги-г--г-- 1 тјопеѕ тјопеѕ 18 Зап 27 2011 /һоте/јбахёег/.Ббаѕһ_ 
Іороиї 

262194 Ө -гм-гм-г-- 1 тјопеѕ ёеѕ+іпе 09 Зап 25 07:59 /һоте/јбахёег/Ғі1е.іхі 
262188 4 -ги-г--г-- 1 тјопеѕ тјопеѕ 124 Зап 27 2011 /һоте/јбахёег/ .баѕһес 
262197 4 агих------ 4 т]опез мјопеѕ 4096 Зап 25 08:27 /һоте/тагујопеѕ 
262207 4 -гм-г--г-- 1 тјопеѕ тјопеѕ 176 Зап 27 2011 /һоте/тагујопеѕ/.баѕһ_ 
рго+11е 

262202 4 -ги-г--г-- 1 тјопеѕ тјопеѕ 18 Зап 27 2011 /һоте/тагујопеѕ/.Баѕһ_ 
Іовоиї 

262206 628 -ги-г--г-- 1 тјопеѕ тјопеѕ 6460999 Зап 25 08:27 /һоте/тагујопеѕ/ 
5ег\1се$ 

262201 4 -гм-г--г-- 1 тјопеѕ тјопеѕ 124 Зап 27 2011 /һоте/тагујопеѕ/.Ббаѕһгс 


От имени пользователя тјопеѕ вы можете применить код, приведенный далее, 
чтобы создать файл с именем /+тр/тагу-+11е.+х+ и с помощью АСТ, назначить 
этому файлу права пользователя біп на чтение/запись и права группы 1р на 
чтение/запись: 


[тјопеѕ ]$ +оисһ /Етр/тагуғі1е.Ех+ 

[тјопеѕ]% ѕеҒас1 -м и:Ьіп:гм /&тр/тагу11е. хе 
[тјопеѕ ]%$ ѕеҒас1 -м 2:1р:гм /Етр/тагу+і1е.+хё 
[тјопеѕ ]$ веҒас1 /+тр/тагу+11е. хе 

# Ғі1е: +тр/тагу+Ғі1е.х+ 

# омпег: мјопеѕ 

# ргоир: мјопеѕ 

иѕег: : ги- 

иѕег: біп: ги- 

вгоир: : гм- 

вгоир:1р:гм- 

так: : ги- 

оће: : г& — 


Выполните от имени пользователя тјопеѕ набор команд, чтобы создать каталог 
с именем /&тр/туаіг и применить АСГ. для назначения ему прав по умолча- 
нию, чтобы пользователь айт имел права на чтение/запись/выполнение этого 
каталога и любых файлов или каталогов, созданных в нем. Проверьте, срабо- 
тал ли набор команд, создав каталог /тр/тудіг/ёеѕёіпв/ и файл /єтр/туаїг/ 
пем11е. хе 

[пагу]$ ткаіг /+тр/туаіг 


[пагу]$ ѕеЁғас1 -т а:и:аат:гых /Етр/туаіг 
[тјопеѕ ]$ веҒас1 /+тр/туаіг 
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# Ғі1е: +тр/туаіг 

# омпег: мјопеѕ 

# ргоир: мјопеѕ 

иѕег: : гих 

вгоир: : гих 

офНег: :г-х 

аеҒаи1+ : изег: : гих 
аеҒаи1+ : изег : айт: гмх 
аеҒаи1+ : ргоир: : гмх 
аеҒаи1+ : та$К: : гмх 

аеҒаи1+ :оёһег: :г-х 

[тјопеѕ ]% ткаіг /Етр/тудаіг/+еѕ+іпре 
[тјопеѕ ]% +оисһ /+тр/тудіг/пемҒі1е.Ёх+ 
[тјопеѕ ]% реф+ас1 /+тр/тудӢіг/+еѕ+іпр/ 
# Ғі1е: +тр/туаіг/беѕ+іпре/ 

# омпег: мјопеѕ 

# ргоир: мјопеѕ 

иѕег: : гих 

иѕег: айт: гих 

Бгоир: : гих 

таѕК: : гмх 

офНег: :г-х 

аеҒаи1+ : изег: : гих 
аеҒаи1+ : изег : адм: гмх 
аеҒаи1+ : ргоир: : гмх 
аеҒаи1+ : та$К: : гих 

аеҒаи1+ :оёһег: :г-х 

[тјопеѕ]% ве+Ғас1 /&тр/туд1г/пем+11е.+хе 
# Ғі1е: +тр/туаіг/пемҒі1е.х+ 

# омпег: мјопеѕ 

# ргоир: мјопеѕ 


иѕер: : ги- 
иѕег:аат: гих #еҒҒесііме : гие - 
гоир: : гих #еҒҒесііме: гм- 
паѕк: : ги- 
офпег: : г-- 


Обратите внимание на то, что пользователь айт фактически имеет только права 
на запись. Чтобы исправить это, нужно расширить права доступа маски. Один 
из способов сделать это — применить команду сһтоа следующим образом: 


[тјопеѕ ]% сһтоа 775 /Етр/туаіг/пем+і1е. хе 
[тјопеѕ ]% ве+Ғас1 /+тр/тудаіг/пем+Ғі1е.+хё 
# Ғі1е: +тр/туаіг/пемҒі1е.х+ 

# омпег: мјопеѕ 

# ргоир: мјопеѕ 

иѕег: : гих 

иѕег:адт: гих 

Бгоир: : гих 

та$К: : гих 

офвег: : г-х 
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Глава 12. Управление дисками и файлами 


1. Чтобы определить имя устройства О5В-накопителя, введите следующее 
и вставьте ОЅВ-накопитель (нажмите сочетание клавиш СИС после того, как 
увидите соответствующие сообщения): 


# јоигпа1с+1 -# 

Кегпе1: [$496] 15667200 512-бу+е 1оріса1 Б1осК$: 
(8.02 СВ/7.47 618) 

Реб 11 21:55:59 спериѕ Кегпе1: 5а 7:0:0:0: 
[546] игле Ргоёесі 1$ ое 

Ғеб 11 21:55:59 спериѕ Кегпе1: [$96] Аѕѕитіпе 
агіме сасһе: иг1{е +ПгоиёИ 

Ғеб 11 21:55:59 спериѕ Кегпе1: [$96] Аѕѕитіпе 
агіме сасһе: мгіёе Ёһгоивһ 


2. Чтобы перечислить разделы на флеш-накопителе ОЗВ в системе КНЕТ. 6, вве- 
дите следующую команду: 


# Ғаіѕк -с -и -1 /аеу/ѕаЬ 


Чтобы перечислить разделы в системе КНЕТІ. 7, КНЕТ. 8 или Ееога, введите: 
# Ғаіѕк -1 /аем/ѕаь 


3. Чтобы удалить разделы на накопителе О$В, предположив, что это аеуісе/аеу/ 
ѕар, выполните следующие действия: 


# Ғаіѕк /аеу/ѕаь 

Соттап (т Фог һе1р): а 
Рагіііоп питбег (1-6): 6 
Соттапа (т +ог һе1р): а 
Рагіііоп питрег (1-5): 5 
Соттап (т Ғог һе1р): а 
Рагіііоп питрег (1-5): 4 
Соттап (т Фог һе1р): а 
Рагёііоп питрег (1-4): 3 
Соттап (т Фог һе1р): а 
РагЕ1+1оп питбег (1-4): 2 
Соттапа (т Фог һе1р): а 
Ѕе1есіеа рагіітіоп 1 
Соттапа (т Ғог һе1р): м 
# рагргобе /ӣем/5а6 


4. Чтобы добавить на ОЗВ-накопитель Глпих-раздел объемом 100 Мбайт, раздел 
подкачки объемом 200 Мбайт и ІУМ-раздел объемом 500 Мбайт, введите сле- 
дующее: 


# Ғаіѕк /аӢеу/ѕаь 


Соттапа (т Фог һе1р): п 
Соттапа ас+іоп 
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е ехёепаеа 
р рг1магу рагЕ11оп (1-4) 
р 
РагЕ1+1оп питбег (1-4): 1 
Е1г5{ ѕесіог (2048-15667199, дефаи1+ 2048): <ЕМТЕВ> 
[а$= ѕесёог, +ѕесогѕ ог +5іғе{К,М,6} (аеҒаџ1 15667199): +190м 
Соттапа (т Фог һе1р): п 
Соттапа асёіоп 
е ехёепаеа 
р рг1магу раг+і+іоп (1-4) 
р 
Рагіііоп питрег (1-4): 2 
Рігѕі ѕесіог (616448-8342527, еҒаи1+ 616448): «ЕМТЕК> 
Гаѕі зесфог, +ѕесіогѕ ог +5іғе{К,М,6} (аеҒаџ1 15667199): +200М 
Соттапа (т Фог һе1р): п 
Соттапа асёіоп 
е ехёепаеа 
р рг1магу раг+і+іоп (1-4) 
р 
Рагіііоп питрег (1-4): 3 
Рігѕі ѕесіог (616448-15667199, еҒаи1+ 616448): «ЕМТЕВК> 
Оѕіпе 4ефац1+ уа1ие 616448 
Гаѕі ѕесіог, +ѕесіогѕ ог +5іғе{К,М,6} (аеҒаџ1 15667199): +500М 
Соттапа (т Фог һе1р): + 
Рагіііоп питбег (1-4): 2 
Нех сое (%уре І Фо 1151 сойеѕ): 82 
Сһапреа ѕуѕёет Журе оф раг+11оп 2 Фо 82 (11пих ѕмар / Ѕ01агіѕ) 
Соттапа (т Фог һе1р): + 
Рагіііоп питрег (1-4): 3 
Нех сое (%уре І Фо 1151 сойеѕ): 8е 
Сһапреа ѕуѕёет Фуре оф рагіітіоп 3 Фо 8е (1іпих 1\М) 
Соттап (т Фог һе1р): м 
# рагіргобе /ӣем/5а6ь 
# ргер 56 /ргос/раг+і+іопѕ 


8 16 7833600 ѕар 

8 17 102400 501 
8 18 204800 5102 
8 19 512000 5аЫз 


5. Чтобы поместить файловую систему ех+4 в раздел Глпах, введите следующее: 
# пКЕЅ -Ё ехЕ4 /аеу/$а61 


6. Чтобы создать точку монтирования с именем /тпё/турагё и смонтировать на 
ней раздел пих, выполните следующее: 


# ткаіг /тпё/тураг+ 
# тоипЕ -Е ех4 /аем/5а61 /тпё/тураг+ 


7. Чтобы включить раздел подкачки таким образом, чтобы дополнительное про- 
странство подкачки сразу же стало доступно, введите следующее: 


# тК$мар /деу/5а02 
# змароп /деу/5а02 


8. 


10. 
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Чтобы создать группу томов абс из раздела ГУМ, создайте логический том объ- 
емом 200 Мбайт из группы дата, на нем — файловую систему УЕАТ, временно 
смонтируйте логический том в новом каталоге /тпё/ёеѕ+, а затем убедитесь, что 
он был успешно смонтирован: 


# русгеафе /4еу/за63з 

# увсгеафе абс /аеу/за63з 

# 1усгеафе -п дафа -Ё 200М абс 

# тКЕ$ - уфаф /аеу/таррег/абс-аа+а 

# шКа1г /тпЕ/ееѕ+ 

# тоипЕ /дӢем/таррег/абс-дӢа+а /тпе/+е$+ 


Чтобы увеличить объем логического тома с 200 до 300 Мбайт, введите следующее: 


# 1уех+епа -і +1600М /деу/таррег/абс-Яӣа+а 
# геѕі2е2#+5 -р /ӣеу/таррег/абс-аа+а 


Чтобы безопасно извлечь О$В-накопитель из компьютера, выполните следу- 
ющее: 


$ итоипЕ /4еу/$461 
# змаро++ /аеу/ѕа62 
$ итоипЕ /тпЕ/еѕЕ 

# 1угетоуе /Ядеу/таррег/абс-Яа+а 
# уёгетоуе абс 

# ругетоуе /4еу/$аь3 


Теперь можете безопасно извлечь ОЗВ-накопитель из компьютера. 


Глава 13. Администрирование серверов 


1. 


Чтобы войти в любую учетную запись на другом компьютере с помощью коман- 
ды ѕ5һ, введите приведенную далее команду и пароль при появлении запроса: 


$ ѕ5һ јое@1оса1һоѕ+ 


јое@1оса1һћоѕ+'ѕ раѕѕмога: 
ЖЖЖЖЖЖЖЖЖ 


[30е]$ 


Чтобы отобразить содержимое удаленного файла /еёс/ѕуѕ+ет- ге1еаѕе в локаль- 
ной системе с помощью команды ѕѕһ, выполните следующее: 
$ ѕ5һ јое@1оса1һоѕ+ "саф /еїс/ѕуѕ+ет-ге1еаѕе" 


јое@1оса1һћоѕ+'5 раѕѕмога: ******* 
Редога ге1еаѕе 30 (Тһіг+у) 


Чтобы использовать переадресацию Х11 для отображения окна реаі+ в локаль- 
ной системе, а затем сохранить файл в удаленном домашнем каталоге, выпол- 
ните следующие действия: 


$ $51 -Х јое@1оса1һоѕї "реаі+ пемҒі1е" 
јое@1оса1һћоѕ+'5 раѕѕмогӣ: ******ж* 
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$ 55һ Зое@1оса1по$Е "саї пемҒі1е" 
јое@1оса1һоѕї'5 раззмога: ******** 
Тһіѕ 15 ех Ғгот {Пе +11е І ѕауеа іп јое'ѕ гетофе поте Яігес+огу 


4. Чтобы рекурсивно скопировать все файлы из каталога /иѕг/ѕһаге/ѕе1іпих уда- 
ленной системы в каталог /ётр локальной системы таким образом, чтобы все 
время изменения файлов обновлялось до времени их копирования в локальной 
системе, выполните следующее: 


$ ѕср -г јое@1оса1һоѕ+: /иѕг/ѕһаге/ѕе1іпих /&тр 
јое@1оса1һћоѕі'ѕ раѕѕмога: 


жЖжЖжЖжжЖжжЖжЖ 

ігс.рр.022 100% 9673 9.5КВ/5 00:00 
асс.рр.672 100% 15КВ 15.2КВ/5 00:01 
$ 15 -1 /+тр/ѕе1іпих | һеаа 
{0фа1 20 


Чгихг-хг-х. 3 гоо гооф 4096 Арг 18 05:52 аеуе1 
Чгихг-хг-х. 2 гооф гооф 4096 Арг 18 05:52 раскареѕ 
Чгихг-хг-х. 2 гооЁ ГОО 12288 Арг 18 05:52 Тагретеа 


5. Чтобы рекурсивно скопировать все файлы из каталога /иѕг/ѕһаге/1овмаїсһ 
удаленной системы в каталог /+тр локальной системы таким образом, чтобы 
все время изменения файлов из удаленной системы сохранялось в локальной, 
выполните следующие действия: 


$ гѕупс -ау ]ое@1оса1по$* : /иѕг/ѕһаге/1ормаЁсһ /Етр 
јое@1оса1һоѕї'5 раззмога: ******** 

гесеіуіпе 1псгетепфа1 +11е 115+ 

1ормаїсһ/ 

1ормаісһ/аеҒаи1+. соп+/ 

1ормаісһ/аеҒаи1+. соп#/1ормаЁсһ. соп# 

$ 15 -1 /+тр/1овма+сһ | һеаа 

$0фа1 16 

Чгихг-хг-х. 5 гоо поо 4096 Арг 19 2011 аефаи1+. соп+ 
агихг-хг-х. 4 гоо гоо 4096 ЕеБ 28 2011 115+. сопҒ 
Чгихг-хг-х. 2 гооф гооф 4096 Арг 19 2011 116 


6. Чтобы создать пару «открытый/закрытый ключ» для применения для 55Н- 
связи (без ключевой фразы), скопируйте файл открытого ключа в учетную 
запись удаленного пользователя с помощью команды ѕ55ћ- сору-іа и примените 
аутентификацию на основе ключа для входа в эту учетную запись пользователя 
без ввода пароля: 


$ 55һ-Ккеуреп 

бепегаёіпе риб11с/рг1уафе гза Кеу ра1г. 

Епёег +11е іп мһісһ Ёо заме Ёһе Кеу (/һоте/јое/.55һ/1іа гѕа): ЕМТЕЮВ 
/һоте/јое/.55һ/іа гѕа а1геаЧу ехіѕіѕ. 

Епёег раѕѕрһгаѕе (етрфу Ғог по раѕѕрһгаѕе): ЕЛТЕВ 

Епфег ѕате раѕѕрһғаѕе араіп: ЕМТЕЮВ 

Үоиг іаепіҒісаіоп Паз Бееп ѕауеа іп /һоте/јое/.55һ/іа гѕа. 

Үои” риб11с Кеу һаѕ Бееп ѕамеа іп /һоте/јое/.ѕ5һ/іа гѕа.рир. 
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Тһе Кеу Ғіпвегргіпё 15: 
58:аб:с1:95:06:10:7а:аа:7с:с5:ар:ба:#3:4+#:89:1е јое@спериѕ.сѕЬ 
Тһе Кеу'5ѕ гапдотаг{ ітаре 15: 


$ 55һ-сору-ій -1 ~/.55һ/іа гѕа.риь јое@1оса1һоѕ+ 

јое@1оса1һоѕ+'5 раѕѕмогӣ: ******** 

Мом гу 1орріпе іпёо {Ве тасһіпе, міЁһ "5=5һ 'јоеҝ@1оса1һоѕї'", 

апа сһеск іп: 

.55һ/аиёһоғгіғеа Кеуѕ 

фо маке зиге ме Пауеп'{ аддеа ехёғга Кеуз һа уои мегеп'& ехресііпр. 
$ ѕ5һ јое@1оса1һоѕ+ 

$ саї .55һ/аиЕһогіғей Кеуѕ 

$5П-гза ААААВЗ№Мас1ус2ЕААААВІМАААОЕАУМ2Р5р5 /_КОС9Е8ВОСх53ЗуРОаддоора 
УбН45ЕЗутпё4№6Е7011ХрхмР2аӢо4грутк121ііпнНК2хСАЕг207ар7 Ғекеі плм2КРс065 
іК712гОҺОју+56Ь/а1ахгІе7дКМд1Тк07С64Еубої1ғ4/ /9247у1417іМиехКтјІзТТха 
растьрббЈзиѕјт1Ввк2аумь413х35А26КеМІ75аІаеВвѕрроввідаи+гитмгхјј2місА 
Хе77рІмКуВамоа05%5а1КХЗ53ЗтІјтЈһелавСссМ/1јКаоЕі раеурд9апсе/уу0Р35031 
{То4Т+аТ+7АО05+66 очи Е еМКАМУҒ217402 ЗАОРтсМми== сһгіѕҝ@абс.ехатр1е. сот 


Чтобы создать в файле /еёс/гѕуѕ10в. соп# запись, которая хранит все сообщения 
аутентификации на уровне информации и выше в файле с именем /уаг/108/ 
туаи+һ, выполните показанные далее действия. Наблюдайте с терминала, как 
поступают данные: 


# уіт /ефс/гзу$1ов. соп 

аиёһргіу.іпғо /маг/1ор/туаић 
# зегу1се гзу$105 геѕ+агі 

ог 

# зузфетсЕ1 гезфаге гѕуѕ1ор.ѕегмісе 

<Тегтіпа1 1> <Тегт1па1 2> 


# 1а11 -Ғ /уаг/1о&/туаи В $ ѕ5һ јое@1оса1һоѕ+ 
Арг 18 06:19:34 абс ипіх сһкрма[30631] јое@1оса1һћоѕі'ѕ раѕѕмога: 
Арг 18 06:19:34 абс 55һа[30631] Регтіѕѕіоп епіеа, {гу араіп 


:рат ипіх(ѕ5һћа:аиёһ): 
аиёһепъісаіоп Ғаі1иге; Іорпате= и14=501 
еи14=501 +ёу=55һ гизег= гһоѕ&=10са1һоѕ+ 
иѕег=јое 

Арг 18 06:19:34 абс 55һ[30631]: 
Ғаі1еа раѕѕмога +Ғог јое +Ғгот 
127.0.0.1 рогі 5564 55һ2 


Чтобы определить самые большие структуры каталогов в каталоге /иѕг/ѕһаге, 
отсортировать их от самых больших к самым маленьким и перечислить десять 
самых больших с помощью команды ао, введите следующее: 

$ аи -5 /иѕг/ѕһаге/* | ѕоге -гп | һеаа 

527800 /и5г/Наге/1оса1е 


277108 /чзг/зНаге/+опе$ 
196232 /иѕг/ѕһаге/һе1р 


134984 /иѕг/ѕһаге/Баскегоипаѕ 
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9; 


10. 


Чтобы отобразить пространство, которое используется и доступно для всех 
файловых систем, подключенных в данный момент к локальной системе, но 
исключить любые файловые системы ётр#ѕ или аӢеуётр#ѕ с помощью команды 
а+, введите следующее: 


$ ағ -һ -х +тр#ѕ -х деуётрёѕ 
Рі1еѕуѕет Ѕіле Џѕеа Амаі1 Оѕе% Моип+еа оп 
/аееу/ѕӣа4 206 4.26 166 22% / 


Чтобы найти в каталоге /иѕг любые файлы размером более 10 Мбайт, выпол- 
ните следующие действия: 


$ Ғіпа /иѕг -ѕіғе +10М 

/иѕг/116/1оса1е/1оса1е-агсһіуе 
/иѕг/11р/јмут/јама-1.8.0-орепјак-1.8.0.212.004-0.#с30.х86 64/јге/1ір/гЕ.јаг 
/иѕг/1ірехес/спі/аһср 

/иѕг/1ірехес/раб 

/иѕг/1ірехес/рсс/х86 64-геаһа-1іпих/9/1+01 

/иѕг/1ірехес/рсс/х86 64-геаһа-1іпих/9/сс1 


Глава 14. Администрирование сети 


1. 


Чтобы с помощью рабочего стола убедиться, что программа Меб\уотк Мапазег 
успешно запустила сетевой интерфейс (проводной или беспроводной), выпол- 
ните следующие действия: 


а) щелкните левой кнопкой мыши в правом верхнем углу рабочего стола 
СМОМЕ, чтобы открыть выпадающий список. В этом меню должны отобра- 
жаться все активные проводные или беспроводные сетевые подключения; 


б) если система не подключена к сети, выберите нужную сеть из списка до- 
ступных, а затем, если появится запрос, введите имя пользователя и пароль, 
чтобы подключиться. 


Чтобы выполнить команду для проверки активных сетевых интерфейсов, до- 
ступных на вашем компьютере, введите: 


$ іҒсопҒір 
или 


$ ір аааг ѕһом 


Попробуйте связаться с доодіе.сот из командной строки таким образом, чтобы 
служба ОМ работала правильно: 


$ р1пё воов1е. сот 
СЕг1-С 


Чтобы выполнить команду для проверки маршрутов, используемых для связи 
за пределами локальной сети, введите следующее: 


$ гои+е 
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Чтобы увидеть маршрут, по которому идет соединение с доодіе.сот, примените 
команду {гасегочцте: 


$ Тгасегои+е роор1е. сот 


Чтобы просмотреть сетевые интерфейсы и связанные с ними сетевые действия 
системы Глпих через интерфейс СосКрії, откройте браузер на порте 9090, ис- 
пользуя ІР-адрес или имя хоста, например: Іосаіћоѕ:9090/пеїмчогк. 


Создайте запись о хосте, которая позволит общаться с локальной хост-системой, 
с помощью имени муоипноз*, отредактируйте файл /еёс/һоѕіѕ (уі /еёс/һоѕ+ѕ) 
и добавьте туомпһћоѕ+ в конец строки 1Іоса1һоѕ+, чтобы он выглядел следующим 
образом (затем пропингуйте файл туоипћоѕ, чтобы увидеть, заработал ли он): 


127.0.0.1 1Іоса1һоѕі.1оса1аотаіп 1оса1Но$+ туомпһоѕ& 
# ріпе туомпһоѕ+ 
СЕг1+С 


Чтобы увидеть О№5-серверы имен, используемые для добавления имен хостов 
и [Р-адресов в вашей системе (ваши будут отличаться от показанных здесь), 
введите следующее: 
# са /еїс/геѕо1у.соп# 

памезегуег 10.83.14.9 

патеѕегмег 10.18.2.10 


патезег\уег 192.168.1.254 
# аір роор1е.сот 


воор1е. сот. 91941 ІМ № п53.роор1е. сот. 
;; Очегу іме: Ө тѕес 

;; ЅЕКМЕК: 10.18.2.9#53(10.18.2.9) 

;; МНЕМ: Ѕа+ Моу 23 20:18:56 ЕЅТ 2019 

33 М6 5124Е гсуа: 276 


Чтобы создать пользовательский маршрут, который направляет трафик, предна- 
значенный для сети 192.168.99.0/255.255.255.0, на некоторый ІР-адрес в вашей 
локальной сети, например 192.168.0.5 (сначала убедитесь, что сеть 192.168.99 
не применяется в вашей сети), выполните следующие действия: 


а) определите имя вашего сетевого интерфейса, например епр456. В этом случае 
от имени суперпользователя выполните следующие команды: 
# са /ес/ѕуѕсоп+ір/пеЕмогк-ѕсгірёѕ 
# уі гоие-епр450 

б) добавьте к файлу следующие строки: 


АрркЕ550=192.168.99.0 
МЕТМА5КӨ=255. 255. 255.0 
САТЕМАҮӨ=192.168.0.5 


в) перезапустите сеть и введите команду гоиќе, чтобы проверить активность 
маршрута: 


# зузфетсЕ1 гезфагЕ М№еёмогКМапарег 
# гоиёе -п 


890 
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Кегпе1 ТР гои{1п= +аБ1е 


реѕёіпаіоп  ба%емау бепта$К Е1аё5 Мефг1с Ве Цзе ІғҒасе 
192.168.0.1 0.0.0.0 255.255.255.0 Ц 600 [2] Ө епр450 
192.168.99.0 192.168.0.5 255.255.255.0 06 600 ө 90 епр450 


10. Чтобы проверить, настроена ли ваша система на маршрутизацию пакетов 
ГРу4 между сетевыми интерфейсами, введите следующее: 


# са /ргос/зуз/пеф/1ру4/1р_Фогиага 


ө 


Значение @ показывает, что переадресация пакетов ГРу4 отключена, значе- 
ние 1 — что включена. 


Глава 15. Запуск и остановка служб 


1. Чтобы определить, какой демон инициализации используется вашим сервером 
в данный момент, рассмотрим следующее: 


а) 


б) 


в большинстве случаев РТУ 1 задействуется как демон ѕуѕёета: 


# р$ -е+ | һеаа 

ито РТО РРІЮ С 5ТІМЕ ТТУ ТІМЕ СМО 

гоо 1 0 е 17:01 ? 00:00:04 /иѕг/11ір/ѕуѕ+ета/ѕуѕета -- 
м1 спед-гоо{ --ѕуѕёет --ЯӢеѕегіа1іғе 18 


Если ввести команду рѕ -е# и РТ 1 — это іпіё, то это все равно может быть 
демон ѕуѕ+ета. Задействуйте команду ѕёгіпеѕ, чтобы узнать, используется ли 
демон ѕуѕ+ета в системе: 

# ѕігіпвѕ /ѕріп/іпіё | егер -1 ѕуѕ+ета 

зуз{ета . ип1 += 


ѕуѕтета.1ов Фагреї= 
ѕуѕёета. 10е Іеме1= 


скорее всего, у вас есть демон инициализации Орзбагё, 5уѕУіпі или ВЅР, 
если ваш демон іпіё не является ѕуѕёета. Но лучше это дважды проверить 
на мікіреаіа.ого/\мікі/Іпі. 


2. Инструменты, применяемые для управления службами, в первую очередь за- 
висят от используемой системы инициализации. Запустите команды ѕуѕёетс+1 
и ѕегуісе, чтобы определить тип сценария инициализации для службы $51 
в вашей системе: 


а) 


для демона ѕуѕёета положительный результат, показанный здесь, означает, 
что служба ѕѕћа была преобразована в зу ета: 


# зузфетсЕ1 зфафиз ѕ5һа.ѕегуісе 

ѕ5һа.ѕегуісе - Ореп55Н зегуег даетоп 
Іоайеа: 1оааеа (/116/зузета/зузет/з5На. егу1се; епаб1еа) 
АсЕ1\е: асЕ1уе (гипп1пё) ѕіпсе Моп, 20 Арг 2020 12:35:20... 
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б) если после выполнения предыдущего пункта положительного результата 
не получено, выполните следующую команду для демона ЗузУтй іпіє. Здесь 
положительный результат, как и отрицательные результаты предыдущих 
тестов, означает, что служба ѕ5ћа все еще использует демон ЗузУ ши: 


# зегу1се 55һ ѕ+аЁиѕ 
ѕѕһа (ріа 2390) 15 гиппіпе... 


Чтобы определить предыдущий и текущий уровни выполнения вашего сервера, 
введите команду гип1еуе1. Она по-прежнему работает на всех демонах іпіё: 


$ гип1еме1 
М 3 


Чтобы изменить уровень выполнения по умолчанию или целевой юнит на сво- 
ем сервере Глпих, реализуйте одно из следующих действий (в зависимости от 
демона 111+): 

а) для 5уѕУіпі отредактируйте файл /е+с/іпіё+арб и замените # в строке 
14:#:1п1%дефаиц1*: на 2, 3, 4 или 5; 

б) для ѕуѕета измените значение аеФаи1*.+агре* на необходимый уровень 
выполнения гип1еуе11#.{агзе*, где значение # равно 2, 3, 4 или 5. Далее по- 
казано, как изменить целевой юнит на гип1еуе13.ёагре+: 

# зузфетсЕ1 ѕеї-аӢеҒаџ1 гип1еме13.+агреї 
Кетомеа /еёс/ѕуѕёета/ ѕуѕ+ет/аеҒаи1+.+агре+. 


Сгеа+еа ѕут1іпк /еёс/ѕуѕ+ета/ ѕуѕ&ет/аеҒаи1&.+агвеё -> 
/иѕг/116р/ѕуѕ+ета/ ѕуѕёет/ти1+і -иѕег.ёагре+. 


Чтобы перечислить службы, запущенные (или активные) на вашем сервере, нуж- 
но использовать различные команды в зависимости от демона инициализации: 
а) для ЗузУши — команду ѕегуісе, как показано в этом примере: 


# зегу1се --ѕ+аиѕ-а11 | вгер гиппіпе | ѕогё 
апасгоп (ріа 2162) 1$ гипп1ив... 
афа (ріа 2172) 1$ гиппіпе... 


б) для ѕуѕёета — команду зузетсЕ1 следующим образом: 


# зузфетсЕ1Т 1151-ипії-+11еѕ --фуре=зегу1се | вгер -у а41заб1еа 


ОМІТ ЕТЕЕ ЅТАТЕ 
абгё-ссрр.ѕегмісе епаб1еа 
абгі-оорѕ.ѕегумісе епаб1еа 


Чтобы перечислить запущенные (или активные) службы на вашем сервере 
Гіпих, используйте соответствующую команду (команды) из ответа 5 для своего 
демона инициализации. 


Для каждого демона инициализации текущее состояние конкретной службы 
показывают следующие команды: 


а) для 5уѕУіпі — команда ѕегуісе ѕемоісе пате ѕ+а+иѕ; 
б) для ѕуѕёета — команды ѕуѕёетс+1 ѕёаёиѕ ѕегоїсе пате. 
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8. Чтобы отобразить состояние демона сирз на своем сервере Глпих, используйте 
следующую команду: 


а) для зузУши: 


# зегу1се сирѕ $Фафи$ 
сирѕа (ріа 8236) 1$ гиппіпе... 


б) для ѕуѕёета: 


# ѕуѕетс+1 ѕ+аїиѕ сирѕ.ѕегуісе 

сирѕ.ѕегуісе - СУР$ Ргіпёіпе Ѕегуісе 

Іоайеа: 1Іоааеа (/116/ѕуѕбета/ ѕуѕёет/сирѕ.ѕегуісе; епаб1еа) 
Асііме: ас+іуе (гипп1пё) ѕіпсе Тие, 05 Мау 2020 04:43:5... 
Маіп РТО: 17003 (сирѕа) 

Сбгоир: пате=ѕуѕбета : / ѕуѕёет/сирѕ.ѕегуісе 

17003 /иѕг/ѕбіп/сирѕа -+ 


9. Чтобы перезапустить демон сирѕ на своем Глпих-сервере, выполните следующие 
действия: 
а) для узУшй: 
# зегу1се сирѕ геѕагі 
Ѕ+орріпе сирѕ: ок |] 
б) для ѕуѕёета: 
# ѕуѕетсі1 гезфаг сирѕ.ѕегмісе 
10. Чтобы перезагрузить демон сирѕ на своем Глпих-сервере, выполните следующие 
действия: 
а) для ЗузУшй: 
# зегу1се сирѕ ге1оаа 
Ке1оадіпе сирѕ: [ ОК ] 
б) а вот для ѕуѕета это не так просто. Нельзя перезагрузить демон сир$ на 
сервере ѕуѕ&ета: 


# ѕуѕіетс+1 ге1оаа сирѕ.ѕегуісе 
Ра11е фо іѕѕие теһоа са11: Јор уре ге1оаа іѕ 
поё арр11саб1е Фог ипіЁ сирѕ.ѕегуісе. 


Глава 16. Настройка сервера печати 


Для вопросов, связанных с принтерами, в большинстве случаев можно использо- 
вать графические средства или инструменты командной строки. В упражнениях 
важно убедиться, что вы получили те же результаты, какие показаны в ответах 
далее. Ответы включают в себя сочетание графических и командных спосо- 
бов решения упражнений. (Станьте суперпользователем, когда увидите при- 
глашение #.) 
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1. Используйте окно РипЕ бе тпдз (Настройки принтера), чтобы добавить в систему 
новый принтер тургіпёег (универсальный принтер Роз 5 стр, подключенный 
к порту) в дистрибутиве Еейога 30: 


а) установите пакет ѕуѕёет- соп#ів-ргіпёег: 
# апҒ іпѕ+а11 ѕуѕет- сопҒір-ргіпёег 

б) с рабочего стола СМОМЕ 2 выберите программу Ргіпё 5е таз (Настройки 
принтера) в окне Асімїйеѕ (Приложения); 

в) разблокируйте интерфейс и введите пароль суперпользователя; 

г) нажмите кнопку Аа (Добавить); 


д) выберите ОЅВ-носитель или другой порт в качестве устройства и нажмите 
кнопку Ропмага (Далее); 


е) для драйвера выберите вариант Сбепегіс (Общие) и нажмите кнопку Гогмага 
(Далее). Выберите Роѕїбсгірё и нажмите Еогмага (Далее); 


ж) нажмите кнопку Ропмага (Далее), чтобы пропустить настройки установки; 


з) назовите принтер тургіпќег, дайте ему любое подходящее описание, укажите 
место расположения и нажмите кнопку Арру (Применить); 


и) нажмите кнопку Сапсе! (Отмена), чтобы принтер не распечатывал пробную 
страницу. Новый принтер должен появиться в окне Рип 5епдз (Настройки 
принтера). 

2. Используйте команду 1рѕёаї+ -+ для просмотра состояния всех ваших принтеров: 

# 1рѕїа+ -* 

аеѕкје-5550 ассерііпр гедиеѕ+5ѕ ѕіпсе Моп 02 Маг 2020 07:30:03 РМ ЕЅТ 

3. Примените команду 1р, чтобы распечатать файл /еёс/һоѕ5: 


$ 1р /еїс/һоѕѕ -Р тургіп+ег 


4. Чтобы проверить очередь на печать для этого принтера, введите следующее: 


# 1ра -Р тургіпёег 

тургіпёег 1$ по геаду 

Капк Омпег 306 Е11е(5$) Тофа1 $17е 
15+ гоо 655 ћоѕ 5 1024 Ьуїеѕ 


5. Чтобы удалить задачу из очереди на печать (отменить ее), введите следующее: 
# 1ргт -Р тургіпёег 
6. Чтобы использовать окно печати для установки основных параметров сервера 


печати так, чтобы другие системы в вашей локальной сети могли печатать на 
них, выполните следующие действия: 


а) на рабочем столе СМОМЕ 3 на экране Асіуїйеѕ (Приложения) введите На- 
стройки принтера и нажмите клавишу Епќег; 

б) выберите Ѕегуег > Ѕегуег Ѕейіпдѕ (Сервер » Настройки сервера) и введите па- 
роль суперпользователя, если появится запрос; 
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7. 


10. 


в) установите флажок РчЫЮН ѕһагеа ргіпќегѕ соппесќеа їо 5 ѕуѕќет (Показывать 
общие принтеры, подключенные к этой системе) и нажмите кнопку ОК. 


Чтобы разрешить удаленное администрирование системы из браузера, выпол- 

ните следующие действия: 

а) на рабочем столе СМОМЕ 3 на экране Асіуїйеѕ (Приложения) введите На- 
стройки принтера и нажмите клавишу Епќег; 

б) выберите Ѕегег › 5егмег бе тд (Сервер » Настройки сервера) и введите па- 
роль суперпользователя, если появится запрос; 

в) установите флажок Айо\! гетое айтіпіѕігайоп (Разрешить удаленное админи- 
стрирование) и нажмите кнопку ОК. 

Чтобы проверить, можете ли вы выполнять удаленное администрирование своей 

системы из браузера в другой системе, выполните следующие действия: 

а) вадресной строке браузера с другого компьютера в сети введите йоз${пате: 631, 
заменив йоѕіпате именем или ІР-адресом системы, в которой запущена 
служба печати; 

б) введите гоо как пользователь и пароль суперпользователя при появлении 
запроса. Появится домашняя страница СОР. 

Чтобы с помощью команды пеїѕ+а+ узнать, по каким адресам прослушивается 

демон сирѕа, введите следующее: 


# пефзфаф -+ир1п | егер 631 
Тср [2] 0 0.0.0.0:631 0.0.0.0: * ІЅТЕМ№ 6492/сирѕа 
їсрб Өө Ө :::631 от ІІЅТЕМ 6492/сирѕа 


Чтобы удалить принтер тургіпёег из своей системы, выполните следующие 
действия: 


а) нажмите кнопку Опіоск (Разблокировать) и введите пароль суперпользова- 
теля при появлении запроса; 


б) в окне РипЕ $етдз (Настройки принтера) дважды нажмите на значке прин- 
тера тургіпёег и выберите вариант Рае (Удалить); 


в) подтвердите удаление. 


Глава 17. Настройка веб-сервера 


1. 


Чтобы установить все пакеты, связанные с группой Мер Зегуег в системе Ееога, 
выполните следующие действия: 


# уит ргоиріпѕ+а11 "меб $егуег" 
Чтобы создать файл іпаех .һёт1 в каталоге, назначенном роситепЕКоої в главном 


файле конфигурации Арасћһе (с фразой Му Омп меб 5егуег внутри), выполните 
следующие действия: 
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а) определите местоположение каталога роситепЁКоої: 


# вгер ^Ооситеп+КооЁ /еёс/һеёра/соп#/һіЕра. сопғ 
РроситепЕКооЁ "/маг/ммм/Пт1" 


б) добавьте фразу Му Омп меб ѕегуег в файл іпдех.һіт1, расположенный в ката- 
логе роситеп+Коої: 


# есһо "Му Омп МеБ $егуег" > /маг/ммм/һт1/іпаех. һЕт1 


Чтобы запустить веб-сервер Арасће и настроить его на автоматический запуск 
во время загрузки, а затем проверить, доступен ли он из браузера на локальном 
хосте, выполните некоторые действия (если он работает правильно, вы должны 
увидеть фразу Му Омп Меб $егуег). 


В разных системах Піпих служба һ++ра запускается и включается по-разному. 
В системах Еейога 30 и выше и КНЕТІ. 7 или 8 введите следующее: 


# ѕуѕЕетс+1 $ФагЕ Ира. ѕегуісе 
# зузфетсЕ1 епаБ1е һ++ра.ѕегмісе 


В системах КНЕТ 6 и ранее введите: 


# зегу1се ПЕЕра ѕ+агі 
# сһксопғіє ИЕЕра оп 


Чтобы с помощью команды пеїѕ+аї узнать, на каких портах прослушивается 
Бера-сервер, введите следующее: 


# пефзфае -Фир1п | егер Веера 
&срб о ө :::80 НЫ ІЅТЕМ№ 2496/һ+тра 
&срб 0 0:::443 ны ІЅТЕМ№ 2496/һ++ра 


Подключитесь к веб-серверу Арасће из браузера за пределами локальной систе- 
мы. Если это не удается, исправьте ошибки, связанные с брандмауэром, ЗЕГлпих 
и другими функциями безопасности. 


Если вы еще не настроили сервер ОМ$, используйте ІР-адрес сервера для про- 
смотра сервера Арасће из удаленного браузера, например Н&р://192.168.0.1. Если 
не можете подключиться, пытайтесь подключиться к серверу из браузера по- 
сле выполнения каждого из следующих шагов в системе, на которой запущен 
сервер АрасВе: 

# 1рфаб1е$ -Е 


# зефепфогсе Ө 
# сһтоа 644 /маг/ммм/һЕт1/іпаех. һт21 


Команда ірёаЬ1еѕ -Е временно сбрасывает правила брандмауэра. Если после 
этого подключение к веб-серверу завершится успешно, необходимо добавить 
новые правила брандмауэра, чтобы открыть ТСР-порты 80 и 443 на сервере. 
В системе, использующей службу +1гема11а, для этого установите флажок ря- 
дом с портами в окне брандмауэра. Для систем, работающих под управлением 
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службы 1рфаб1ез, добавьте правила, как показано далее, перед последним пра- 
вилом ОВОР или КЕЈЕСТ: 


-А ІМРОТ -т ѕ+ае --ѕ+ае МЕМ -т %ср -р ср --Ярогі 80 -ј АССЕРТ 
-А ІМРОТ -т ѕ+ае --ѕ+абе МЕМ -т %ср -р ср --Ярогі 443 -ј АССЕРТ 


Команда ѕеёепҒогсе 0 временно переводит 5 Е1іпих в разрешительный режим. 
Если подключение к веб-серверу после этого завершится успешно, необходимо 
исправить контекст файла 5Е11пих и/или логический тип (возможно, в данном 
случае только контекст файла). Должно сработать следующее: 


# сһсоп --пгеҒегепсе= /маг /ммм/һЕт1 /маг/ммм/һЕт1/іпаех . һт21 


Если команда сһтоа работает, это означает, что пользователь и группа Арасће 
не имели прав на чтение файла. Необходимо оставить эти права без изменений. 


6. Чтобы применить орепѕѕ1 или аналогичную команду для создания собствен- 
ного закрытого ключа КЅА и самоподписанного 551-сертификата, выполните 
следующие действия: 


учт іпѕ+а11 ореп$$1 
са /еіс/ркі/+15/ргіма+е 
орепѕ51 репгза -оиї зегуег.Кеу 1024 
сһтоа 600 ѕегмег.Кеу 
са /еіс/ркі/+15/сегіѕ 
орепѕ51 гед -пем -х509 -пойеѕ -ѕ5һа1 -4ау$ 365 \ 
-Кеу /еїс/ркі/+15/ргіма+е/ѕегуег.Ккеу \ 
-ои зегмег. сг 
Соипёгу Мате (2 1еї+ег сое) [А0]: 05 
Зфафе ог Ргоуіпсе Мате (+и11 пате) [ѕоте-Ѕ%аёе]: № 
Іоса1і+у Мате (её, сл%у) []: Ргіпсе+оп 
Огврапіға+іоп Мате (её, сотрапу) [Тпфегпее и1а21%$ Р+у 
1449] :ТЕЗТ У$Е ОМУ 
Ограпіғаіопа1 Џпіё Маме (её, ѕесёіоп) []:ТЕЅТ ОЅЕ ОМУ 
Соттоп Мате (ер, УОЦК паме) []: ѕесиге.ехатр1е.оге 
Етаі1 Адагез$ [] :аотдехатр1е.огр 


# 
# 
# 
# 
# 
# 


Теперь у вас должны быть файл ключа /еёс/ркі/є15/ргімате/ ѕегуег.кеу и файл 
сертификата /еёс/ркі/615/сегіѕ/ѕегуег. сг+. 


7. Чтобы настроить веб-сервер Арасће на использование ключа и самоподписанно- 
го сертификата для обслуживания защищенного контента (НТТР), выполните 
следующие действия: 


а) отредактируйте файл /еЕс/ВЕЕра/соп+.9/$$1 .соп+, изменив ключ и распо- 
ложение сертификата, чтобы использовать только что созданные: 


$$ЕСег{1+1са*ер11е /ефс/рк1/+1$/сег$ /зегуег. сг& 
551СегііҒісаеКеуғі1е /ес/ркі/+15/ргіма+е/ѕегуег.Ккеу 


б) перезапустите службу ВЕЕра: 


# ѕуѕіетс+1 геѕ+агі НЕЕра. ѕегуісе 


8. 


10. 
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Чтобы задействовать браузер для создания НТТР5$-соединения с веб-сервером 
и просмотра содержимого созданного сертификата, в системе, работающей на 
сервере АрасВе, введите ПЕЕрз: //1оса1ћоѕї в адресную строку браузера. Появит- 
ся сообщение о ненадежности соединения. Чтобы завершить подключение: 


а) нажмите кнопку І Упдег$апа {Не Кіѕкѕ (Принять риск и продолжить); 

б) нажмите кнопку Ааа Ехсеріоп (Добавить исключение); 

в) нажмите кнопку бе Сегийсае (Получить сертификат); 

г) нажмите кнопку Сопйгт Ѕесигїќу Ехсеріоп (Добавить исключение безопасности). 


Создайте файл /еёс/һёёра/соп#. а/ехатр1е. оге. соп, который включает вирту- 
альный хостинг на основе имени и создает виртуальный хост, который: 1) прослу- 
шивает 80-й порт во всех интерфейсах; 2) имеет администратора )ое@ехатр1е.огв 
на сервере; 3) имеет сервер јое.ехатр1е.оге; 4) имеет каталог роситеп+ВКоо 
с файлом /маг/мми/пЕт1/) ое.ехашр1е.огв; 5) имеет директиву О1гесфогуТпаех. 
Она включает в себя по крайней мере файл 1п4ех.п+т1 и создает в каталоге 
РоситепЕВоо* файл іпаех.һіт1 с фразой Ме1соте +о Не Ноиѕе оф Јое. 


Создайте файл ехатр1е .огв . соп+, который выглядит следующим образом: 


Мате\/1гЕиа1Но$+ *:80 
<Мігіџа1Ноѕі *:80> 


ЅегмегАатіп јое@ 
ехатрёе.огд 
5егуегМате јое. 
ехатрёе.огд 
5егуегА11а$ иеБ.ехатрёе.огд 
Роситеп+КооЁ /маг/ммм/һт1/јое.ехатр1е.оге/ 
01гесфогуТпаех іпаех.һёт1 
</\1гЕиа1Но$*> 


Чтобы создать нужную фразу в файле іпдех.һёт1, введите: 


# есһо "Ме1соте Ёо һе Ноиѕе о+ Јое" > \ 
/маг/м\мм/Һт1/јое.ехатр1е.оге/іпаех.һЕт1 


Добавьте јое.ехатр1е.оге в конец записи 1оса1һоѕ+ в файле /еёс/һоѕ+ѕ на ком- 
пьютере, где запущен веб-сервер, и проверьте его, набрав һер: //3ое .ехатр1е.огв 
в адресной строке браузера, чтобы увидеть фразу ме1соте +о {Ве Ноиѕе о+ Јое при 
отображении страницы. Для этого: 


а) перезагрузите файл НЕЁЕра. соп#, измененный в предыдущем упражнении, 
одним из двух способов: 


# арасһес+1 5гасефи1 
# зузфетсЕ1 гезфаге Ира 


б) отредактируйте файл /еёс/һоѕ+ѕ с помощью любого текстового редактора, 
чтобы строка локального хоста выглядела следующим образом: 


127.0.0.1 1оса1һоѕі.1оса1аотаіп 1оса1Но$* 3ое.ехатр1е.огЕ 
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в) из браузера в локальной системе, где работает служба Вера, введите 
јое.ехатр1е.оге в адресной строке, чтобы получить доступ к веб-серверу 
Арасћһе с помощью аутентификации на основе имени. 


Глава 18. Настройка ЕТР-сервера 


ВНИМАНИЕ! 


Не выполняйте описанные здесь действия на активном общедоступном ЕТР-сервере, так как они помешают его 
работе. (Однако можно сих помощью настроить новый ЕТР-сервер.) 


1. 


Чтобы определить, какой пакет предоставляет службу Уегу Ѕесиге ЕТР Оаетоп, 
от имени суперпользователя введите следующую строку: 


# уит ѕеагсһ "Меғу Ѕесиге ЕТР" 


================ №5 Маісһеа: \егу Ѕесиге ЕТР ============ 
У5ЕЕра.1686 : Мегу Ѕесиге Еёр Баетоп 


Поиск отобразит пакет уѕ#єра. 


Чтобы установить службу Уегу Зесиге ЕТР Оаетор в системе и выполнить по- 
иск файлов конфигурации в пакете уѕ#ёра, введите следующее: 

# уит іпѕъа11 у$Ера 

# грт -ас уѕҒЕра | 1еѕѕ 

Чтобы включить анонимный ЕТР и отключить локальный вход пользователя для 
службы Уегу Зесите ЕТР Раетоп, установите в файле /ес/уѕ#ра/уѕ#ра. соп+ 
следующее: 

апопуточ$_епаб1е=УЕ$ 

мгіе епаб1е=ҮЕЅ 


апоп_ир1оаа епаб1е=ҮЕѕ 
1оса1 епаб1е=№о 


Чтобы запустить службу Уегу Ѕесите ЕТР Раетоп и настроить ее запуск при 
загрузке системы, введите в актуальной версии системы Еейога или Кеа Наѓ 
Ещегрг1зе пих следующее: 


# зузфетсЕ1 ѕ+агі уѕ++ра. ѕегмісе 
# зузфетсЕ1 епаб1е м$+Ера. ѕегуісе 


В системе Кеа Нас Ещегри!зе Глпих 6 введите: 


# зегу1се уѕ+Ғ1ра ѕ+агі 
# сиКсоп1в м$РЕра оп 


В системе, на которой работает ЕТР-сервер, введите следующую команду, что- 
бы создать файл с именем +еѕ+ в анонимном каталоге ЕТР, содержащем слова 
Ме1 соте Ёо уоиг уѕ#ёра зегуег: 


# есһо "Ме1соте Фо уоиг мѕҒёра ѕегмег" > /маг/+Ғір/%еѕ+ 
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6. Чтобы открыть файл +еѕї из анонимного домашнего каталога ЕТР с помощью 
браузера в системе сервера, откройте браузер, введите в адресную строку сле- 
дующие данные: 


ҒЕр: //1оса1Ио$*/+е$+ 


и нажмите клавишу Епќег. В окне браузера появится фраза ме1соте ќо уоиг уѕ#+ра 
зегуег. 


7. Чтобы получить доступ к файлу +е$+4 в домашнем каталоге анонимного сер- 
вера ЕТР, выполните следующие действия (если не можете получить доступ 
к файлу, убедитесь, что ваш брандмауэр, 5Е пих и ТСР-оболочки разрешают 
доступ к нему): 
а) в адресную строку браузера в системе, связанной с ЕТР-сервером (замените 
һоѕ+ полным именем хоста или [Р-адресом вашей системы), введите: 


ҒЕр: //һоѕ+/+еѕ+ 


Если вы не видите приветственной фразы в окне браузера, выясните, что 
помешало этому. Чтобы временно отключить брандмауэр (сбросить правила 
1реаб1ез), в качестве суперпользователя из оболочки на ЕТР-сервере введите 
следующую команду, а затем попытайтесь снова получить доступ к сайту: 


# ірёаБ1еѕ -Е 


б) чтобы временно отключить $Е1 пих, введите следующую команду и снова 
подключитесь к сайту: 


# ѕеепғҒогсе ө 


Определив, что ошибка заключалась в недоступности файла на ЕТР-сервере, 
вернитесь к разделу «Защита ЕТР-сервера» главы 18 и выполните следу- 
ющие шаги, чтобы определить, что может блокировать доступ к вашему 
файлу; 

в) для службы ірёаб1еѕ убедитесь, что на сервере есть правило, открывающее 
ТСР-порт 21; 

г) для ЗЕ тах убедитесь, что контексту файла установлено значение риб11с_ 
сопфепе_*. 


8. Для настройки службы уѕ#+ра так, чтобы разрешить анонимным пользовате- 
лям загрузку файлов в каталог с именем іп, выполните следующие действия от 
имени суперпользователя: 


а) создайте каталог іп: 


# ткаіг /уаг/Ер/1п 
# сһомп РЕр:ЕЕр /маг/+ҒЕр/іп 
# сһтоа 777 /маг/Ғёр/іп 


б) для последней версии системы Еедога или КНЕГ. откройте окно Ргема! (Меж- 
сетевой экран) и установите флажок ЕТР в разделе службы, чтобы открыть 
доступ к службе ЕТР. Для более ранних систем ВНЕГ. и Еедога настройте 
брандмауэр ірќаБ1еѕ так, чтобы он разрешал новые запросы на ТСР-порт 21, 
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10. 


добавив в файл /еёс/ѕуѕсопҒїв/ір+ар1еѕ перед окончательным правилом 
ОКОР или КЕЗЕСТ следующее правило: 


-А ІМРОТ -т ѕ+ае --5+афе МЕМ -т ср -р ср --Ярогі 21 -ј АССЕРТ 


в) настройте брандмауэр 1реаб1ез для отслеживания подключений, загрузив 
соответствующий модуль в файл /еёс/ѕуѕсопҒів/ірёаБ1еѕ-сопҒів: 


ТРТАВЕЕ$ _МОБИЕЕ$ ="п+_соппгаск_4+р" 


г) чтобы ЗЕ пах разрешил загрузку в каталог, сначала правильно установите 
контексты файлов: 


# ѕетапаре РсопфехЕ -а - риБ1іс сопёепі гм Ё "/маг/Ер/1т(/.*)?" 
# гезфогесоп -Е -К -м /маг/ҒЕр/іп 


д) затем установите логический тип $Е1лпих, чтобы разрешить загрузку: 


# зефзебоо1 -Р а110ом Ғіра апоп_мгі+е оп 


е) перезапустите службу уѕ+#+ра (ѕегуісе уѕҒёра геѕ+агё ѕуѕёетсё1 геѕ+агі 
м5 ра. зегу1се). 


Установите ЕТР-клиент 1#+р (если у вас нет второй системы Глпих, установите 
1+еЕр на тот же хост, на котором работает ЕТР-сервер). При необходимости за- 
грузите файл /еёс/һоѕ+ѕ в каталог іп на сервере, чтобы убедиться, что он до- 
ступен. Выполните от имени суперпользователя следующие команды: 


# уит іпѕъа11 1+&р 

# ІҒЕр 1оса1о$* 

ІҒЕр Іоса1һоѕ+:/> са іп 

ІҒЕр 1оса1по$*:/1п> риё /еёс/һоѕёѕ 
89 Буфез ёгапѕ+Ғеггеа 

ІҒЕр 1Іоса1һоѕ+: /іп> аи1 


Вы не сможете увидеть, что скопировали файл һоѕ+ѕ во входящий каталог. 
Однако введите следующую команду из оболочки на хосте, на котором запущен 
ЕТР-сервер, чтобы убедиться, что файл һоѕёѕ находится в этом каталоге: 


# 15 /маг/ЕЕр/1пт/во$$ 


Если не можете загрузить файл, устраните проблему, как описано в упраж- 
нении 7, перепроверьте настройки файла уз ра. соп# и проверьте все права 
в каталоге /маг/РЕр/1п. 


Используя любой ЕТР-клиент, перейдите в каталог /риб/деріап-тееіпвѕ на 
сайте Яр://р.дпоте.ога и перечислите содержимое этого каталога. Вот как это 
можно сделать с помощью клиента ІҒёр: 


# ТРЕр ҒЕр://ҒЕр.рпоте.оге/рибр/аебіап-тееіпе5/ 

са ок, сма=/рчБ/аеб1ап-тее{1п$ 

ІҒЕр РЕр.епоте . ог: /рибр/аеріап-тееёіпвѕ>> 15 

Чгихг-хг-х Е) Фр Тр 3 Зап 13 2 014 2004 
агихг-хг-х 6 Ұр РЕр 6 Зап 13 2014 2005 
агихг-хг-х 8 Ұр РЕр 8 Оес 20 2006 2006 
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Глава 19. Настройка Ѕатба-сервера 


1. 


Чтобы установить пакеты ѕатра и ѕатра-с1іепё, введите из локальной системы 
от имени суперпользователя следующую команду: 


# ушт іпѕъа11 затба затЬа-с11еп* 


Чтобы запустить и включить службы ть и ить, введите от имени суперпользо- 
вателя из локальной системы следующие команды: 


# зузфетсЕ1 епаБ1е ѕтЬ.ѕегуісе 
# зузфетсЕ1 $Фаге ѕтр.ѕегуісе 
# зузфетсЕ1 епаБ1е птЬ.ѕегуісе 
# ѕуѕёетс+1 ѕ+аг птЬ.ѕегмісе 


или 


# сһксопғіє тб оп 
# зегу1се ѕть ѕ+агё 
# сһксопғіє пб оп 
# зегу1се птЬ ѕ+агё 


Чтобы установить рабочую группу сервера Ѕатђа в ТЕ$ТбВОУР, имя МеВТО$ — 
в МУТЕЗТ и строку сервера — в Ѕатђа Теѕі Зузет, от имени суперпользователя 
откройте файл /еёс/ѕатра/ѕтр. соп+ в текстовом редакторе и измените три 
строки так, чтобы они выглядели следующим образом: 


могкёГОИр = ТЕЗТбВОУР 
пеёріоѕ пате = МҮТЕЅТ 
ѕегмег ѕЁгіпе = Ѕатра Теѕї Ѕуѕ+ет 


Чтобы добавить в свою систему пользователя Глпах с именем рћі1 и присвоить 
ему пароль Глпиах и пароль Ѕатђа, от имени суперпользователя из оболочки 
введите следующее: 


# иѕегааа рһі1 

# раѕѕма рһі1 

Мем раѕѕмога: ******* 

Вефуре пем раѕѕмога: ******* 

# ѕтрраѕѕма -а рһі1 

Мем 5МВ раѕѕмога: ******* 

Вефуре пем 5МВ раѕѕмога: ******* 
Ааадеа иѕег рһі1. 


Обязательно запомните установленные пароли. 


Настройте раздел [һотеѕ] таким образом, чтобы можно было просматривать 
домашние каталоги (уеѕ) и записывать в них (уеѕ) и пользователь рћі1 являлся 
единственным допустимым пользователем. Откройте файл /еёс/ ѕатра/ ть . соп 
как суперпользователь и измените раздел [потез ]: 
[ћотеѕ ] 

соттепё = Ноте О1гес®ог1е$ 

бргомѕеаб1е = Үеѕ 

геаа оп1у = № 

\а11а иѕегѕ = рһі1 
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6. Для установки логических типов ЗЕГлпах, необходимых для того, чтобы поль- 
зователь рћ1і1 мог получить доступ к своему домашнему каталогу через клиент 
Затра, как суперпользователь из оболочки введите следующее: 


# зефзеБоо1 -Р ѕатра _епаб1е һоте ігѕ оп 
# зузфетсЕ1 гезфагЕ зтЬ 
# зузфетсЕ1 геѕ+агі птЬ 


и перезапустите службы ѕтЬ и пть. 


7. В локальной системе используйте команду этьс14еп*, чтобы указать, что общий 
ресурс [ћотеѕ ] доступен: 
# ѕтрс1іепі -Ё 1оса1һоѕї 


Епёег ТЕЗТбКОУР\гоо*'$ раз$мога: <ЕМТЕК> 
Апопутоиѕ 1оріп ѕиссеѕ5#и1 


Ѕһагепатме Туре Соттеп 


һотеѕ ріѕк Ноте рігесёогіеѕ 


8. Чтобы подключиться к разделу [һотеѕ] из окна №аийіиѕ (Файлы) в локальной 
системе сервера Ѕатђа для пользователя рһі11 таким образом, чтобы можно 
было перетаскивать файлы в эту папку, выполните следующие действия: 


а) откройте М№аиїіиѕ (Файлы), нажав на соответствующий значок; 


б) на панели слева выберите Оћег Іосайопѕ (Другие места) и нажмите кнопку 
Соппесі {о Ѕегуег (Подключиться к серверу); 


в) введите адрес сервера, например зть: / /1оса1һћоѕ&/рһі1/; 


г) при появлении запроса выберите пункт Ведіѕіегеа Оѕег (Зарегистрированный 
пользователь), введите имя пользователя рћі1, домен (ТЕЅТСКОЏР) и пароль 
этого пользователя; 


д) откройте еще одно окно Маии$ (Файлы) и перенесите файл в домашнюю 
папку пользователя рћ11. 


9. Чтобы открыть брандмауэр так, чтобы любой, кто имеет доступ к серверу, мог 
получить доступ к службе Ѕатђа (демоны зтба и птЬа), откройте окно Еиемиа! 
(Межсетевой экран) и установите флажки Затба и ѕатба-сііепё (как для Кип@те, 
так и для Регтапепё). Если в вашей системе работает служба 1реаб1е$ (не служ- 
ба Е1гема114), измените файл /еес/зузсоп1в /1реаБ1е$ так, чтобы брандмауэр 
выглядел следующим образом (правила, которые нужно добавить, выделены 
жирным шрифтом): 

#11 {ег 

:ІМРОТ АССЕРТ [0:0] 
:ҒОКМАКО АССЕРТ [0:0] 
:ООТРОТ АССЕРТ [0:0] 


-А ТМРОТ -ш ѕбаёе --ѕёасе ЕСТАВЕТЗНЕО, ВЕГАТЕР -ј АССЕРТ 
-А ТМРОТ -р 1стр -] АССЕРТ 
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-А ІМРОТ -1 1о -ј АССЕРТ 

-Т ТМРОТ -т $фафе --ѕ+ае МЕМ -м иар -р иар --@арогЕ 137 -ј АССЕРТ 
-Т ТМРОТ -т $фафе --ѕ+аёе МЕМ -м иар -р иар --арогЕ 138 -ј АССЕРТ 
-Т ТМРОТ -т $фафе --ѕ+аёе МЕМ -м ср -р ср --ӣрогі 139 -ј АССЕРТ 
-Т ІМРОТ -т ${афе --ѕ+афе МЕМ -т ср -р ср --арогЕ 445 -ј АССЕРТ 
-А ІМРОТ -ј ВЕЗЕСТ --пејесё-міЄһ істр-һоѕ+-ргоһірі+еа 

-А РОВМАКО -ј КЕЈЕСТ --гејес-міЁһ істр-һоѕ+-ргоһіріёеа 

СОММІТ 


Затем введите следующую команду для правил брандмауэра, чтобы переза- 
грузить его: 


# зегу1се ір+аЬ1еѕ гезфагЕ 


10. Чтобы снова открыть общий ресурс [ћотеѕ] от имени пользователя рћі1 из 
другой системы в вашей сети (\/т4о\з$ или Глпиах) и убедиться, что можете 
перетащить в него файлы, выполните следующие действия: 


а) 


б) 


сначала повторите описанный ранее пример окна М№аийіџѕ (Файлы) или об- 
ратитесь к окну Ехрюгег (Проводник) в Ұіпіоуѕ и откройте общий ресурс, 
выбрав сеть, а затем сервер Ѕатђа. Сложность заключается в том, что служба 
должна быть доступна в функциях безопасности сервера Глпих; 


если не можете получить доступ к общему ресурсу ЗатБа, отключите бранд- 
мауэр, а затем отключите ЗЕ тих. Если общий ресурс доступен при от- 
ключении любой из этих служб, вернитесь назад и ликвидируйте проблему 
с неработающей службой: 


# ѕетепҒогсе ө 
# зегу1се 1рфаб1е$ ѕ+ор 


когда исправите ее, вновь установите 5Е пих в принудительный режим 
и перезапустите службу ірќаЬ1еѕ: 


# ѕећепҒогсе 1 
# зегу1се ір+аЬ1еѕ ѕіагі 


Глава 20. Настройка МЕ5-сервера 


1. Чтобы установить пакеты, необходимые для настройки службы МЕ$ в выбран- 
ной вами системе Глпих, введите от имени суперпользователя (в системе Еейога 
или КНЕГ.) следующую команду: 


# уит 11$$а11 п+$-и{11$ 


2. Чтобы перечислить файлы документации, входящие в пакет программного обе- 
спечения сервера МЕЅ, введите следующее: 


# грт -9ӣ п#5-иЕ115 
/иѕг/ѕһаге/аос/п#ѕ-0и115-1.2.5/Сһапреіорв 
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/чзг/зНаге/тап/тап5 /ехрогіѕ.5. рг 
/иѕг/ѕһаге/тап/тап5 /п#5.5.р2 
/иѕг/ѕһаге/тап/тап5 /пЕѕтоипЁ. соп. 5. р2 
/иѕг/ѕһаге/тап/тап7 /п#51.7.р2 
/иѕг/ѕһаге/тап/тап8/61ктара.8. рх 
/иѕг/ѕһаге/тап/тап8 /ехрогі+#5.8.р2 


3. Чтобы запустить и включить службу МЕЅ, введите от имени суперпользователя 
на сервере МЕЅ следующие данные: 


# зузфетсЕ1 ѕ+агі п#5-ѕегмег. ѕегуісе 
# зузфетсЕ1 епаБ1е п#5-ѕегмег.ѕегмісе 


4. Чтобы проверить состояние только что запущенной службы МЕ$, от имени 
суперпользователя введите следующее: 


# зузфетсЕ1 зфафи$ п#5-ѕегмег.ѕегмісе 


5. Чтобы сделать каталог /маг/ пуѕиҒ+ доступным для всех, но только для чтения 
суперпользователем на клиенте, который имеет основной доступ к общему ре- 
сурсу, сначала создайте каталог монтирования следующим образом: 


# ткаіг /уаг/ту$ Фи 


Затем создайте запись в файле /еіс/ехрогіѕ, как в примере далее: 


/маг/тузЕи РР *(го, по гоо _ѕдиаѕћ,іпѕесиге) 


Чтобы сделать общий ресурс доступным, введите следующее: 


# ехрогЕ+$ -у -а 
ехрогііпв *: /маг/ту$ и 


6. Чтобы убедиться, что созданный вами общий ресурс доступен всем хостам, сна- 
чала убедитесь, что демон греб1па не заблокирован ТСР-оболочками, добавив 
следующую запись в начало файла /еёс/һоѕёѕ . а110м: 


грсбіпа: АШ 


а) чтобы открыть брандмауэр в системах, использующих службу +1гема11а 
(КНЕГ 8 и недавние системы ЕеЧога), установите пакет Ғігема11 - соп#ір. 
Затем запустите і гема11 -соп1в из появившегося окна Еігеуа!! (Межсетевой 
экран), убедитесь, что МЕ$ и грс-біпа включены в постоянные настройки 
брандмауэра; 

б) чтобы открыть порты, позволяющие клиентам войти на сервер МЕЅ через 
брандмауэр ір+аб1еѕ (на ВНЕТ. 6 и более ранних системах Еейога, где нет 
службы Ғіпема114), нужно открыть порты ТСР и ОПР 111 (демон ерсбіпа), 
20048 (тоипеа) и 2049 (МЕ$), добавив следующее правило в файл /еїс/ 
ѕуѕсопҒів/ір+аБ1еѕ и при запуске службы ірќаБ1еѕ: 

-А ІМРОТ -т ѕ+а+е --ѕ+ае МЕМ -т ср -р ср --арогЕ 111 -ј АССЕРТ 


-А ТМРОТ -т ѕ+ае --ѕ+ае МЕМ -т иар -р оар --ароге 111 -ј АССЕРТ 
-А ІМРОТ -т ѕ+а+е --ѕ+абе МЕМ -т %ср -р ср --Яӣрогі 2049 -ј АССЕРТ 


7. 


10. 
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-А ІМРОТ -т ѕ+а+е --5+афе МЕМ -т иар -р иар --арогЕ 2049 -ј АССЕРТ 
-А ІМРОТ -т ѕ+а+е --5+афе МЕМ -т ср -р ср --Яӣрогі 20048 -ј АССЕРТ 
-А ІМРОТ -т ѕ+ае --5+афе МЕМ -т иар -р иар --арогЕ 20048 -ј АССЕРТ 


Система 5Еіпих должна иметь возможность совместно задействовать фай- 
ловые системы МЕ$ в принудительном режиме без каких-либо изменений 
в контекстах файлов или логических типах. Чтобы убедиться в том, что 
созданный общий ресурс доступен только для чтения, выполните от имени 
суперпользователя на сервере МЕЅ следующую команду: 


# ѕеїѕероо1 -Р п#5_ехрогі_а11 го оп 


Чтобы просмотреть общие ресурсы, доступные на сервере МЕЅ (имя сервера 
МЕЅ — пЕ55егуег), введите в клиенте МЕЅ следующее: 
# ЅѕһомтоипЕ -е пЕѕѕегмег 


ЕхрогЕ 115+ Фог пЁ55егуег: 
/\аг/тмузЕи+Е * 


Чтобы создать каталог /маг/гетоёе и временно смонтировать каталог /уаг/ 
туз и с сервера МЕЅ (в данном примере пЕѕѕегмег) в этой точке монтирования, 
введите в качестве суперпользователя следующее: 


# шКа1г /маг/гетоёе 
# тоипЕ -Е п#5 пѕ5егмег: /маг/туѕиҒҒ /маг/гетоёе 


Чтобы добавить запись так, чтобы то же самое монтирование выполнялось 
автоматически при перезагрузке, сначала размонтируйте каталог /маг/гетоёе 
следующим образом: 


# ичтоипе /маг/гетоёе 


Затем добавьте в файл /еёс/#ѕ+ар следующую запись: 


/\аг/гетофе п#ѕѕегуег: /маг/туЕи+Р  п+5 Бв,го ё өе 


Чтобы проверить правильность настроек общего ресурса, введите в клиенте МЕЅ 
в качестве суперпользователя следующие данные: 

# тоипЕ -а 

# тоипЕ -Е п#54 


пѕѕегуег: /маг/туѕ+иҒҒ оп /маг/гетоёе +уре п#54 
(го, мегѕ=4,г517е=524288... 


Чтобы скопировать некоторые файлы в каталог /маг/туѕёи#+, введите на сервере 
МЕЅ следующую команду: 


# ср /еёс/һоѕ+ѕ /еЁс/ѕегуісеѕ /маг/туѕи++ 


Чтобы убедиться, что вы можете видеть только что добавленные в этот каталог 
файлы и не можете записывать файлы в него из клиента, введите: 


$ 15 /уаг/гето*е 

ћоѕ+ѕ ѕегуісеѕ 

# +оисһ /маг/гетоёе/+і1е1 

+оисһћ: саппоё +оисһ '/маг/гетоёе/Ғі1е1': Кеаа-оп1у +11е ѕуѕ+ет 
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Глава 21. Диагностика пих 


1. Чтобы перейти в режим настройки ВІОЅ вашего компьютера: 
а) перезагрузите компьютер; 


б) через несколько секунд появится экран ВТО$ с указанием того, какую функ- 
циональную клавишу нажать, чтобы перейти в режим Ѕеїџр (на моем рабочем 
столе Ре это клавиша Р2); 


в) должен появиться экран ВІО. (Если система начала загрузку пих, вы не- 
достаточно быстро нажимали функциональную клавишу.) 


2. На экране настроек ВІОЅ определите, является ли ваш компьютер 32- или 
64-разрядным, включает ли он поддержку виртуализации и способна ли ваша 
сетевая интерфейсная карта загружать РХЕ. 


Эти данные могут отличаться от моих, они зависят от компьютера и системы 
Тлпах. Экран настройки ВІОЅ также может быть иным. Однако в целом вы мо- 
жете использовать клавиши <-, 1, } и -> и клавишу ТаБ для перемещения между 
различными столбцами и нажимать клавишу Епќег для выбора. 


На моем рабочем столе ОеЙ под заголовком Ѕуѕет (Система) находится инфор- 
мация о процессоре. Мой компьютер 64-разрядный. Загляните в раздел Ргосеѕѕог 
Ітѓо (Информация о процессоре) или аналогичный на своем компьютере, чтобы 
узнать тип процессора. 


На рабочем столе Пе! под заголовком ОпБоага рехісеѕ (Встроенные устройства) 
я выделил пункт Іпќедгаіеа МС (Встроенная карта МІС) и нажал клавишу Епќег. 
Встроенная карта МТС появится справа. Она позволяет включать или отключать 
саму карту сетевого интерфейса (Оп или О#Ғ#) или включить ее с помощью РХЕ 
или КРІ (если нужно загрузить компьютер по сети). 


3. Чтобы прервать процесс загрузки и добраться до загрузчика СКОВ: 
а) перезагрузите компьютер; 


б) сразу после того как экран ВТО$ исчезнет, вы увидите обратный отсчет до 
загрузки системы Глпах. Нажмите любую клавишу, допустим Пробел; 


в) должно появиться меню загрузчика СВОВ, оно позволит выбрать ядро опе- 
рационной системы, которое следует загрузить. 


4. Чтобы загрузить компьютер до уровня выполнения 1 и произвести обслужива- 
ние системы, перейдите на экран загрузки СВОВ (как описано в предыдущем 
упражнении), а затем выполните следующие действия: 


а) используйте клавиши <, 1, фи ->, чтобы выделить операционную систему 
и ядро, которые вы хотите загрузить; 


б) введите е, чтобы увидеть строки, необходимые для загрузки операционной 
системы; 


в) переместите курсор на строку с ядром (включает в себя слово ут1іпих); 
г) переместите курсор в конец этой строки, добавьте пробел и введите іпіё=баѕћ; 


Приложение Б. Ответы к упражнениям 907 


д) следуйте инструкциям, чтобы загрузить новую строку. В данном случае 
придется нажать либо сочетание клавиш Сі1+Х, либо клавишу Етег. В случае 
другого экрана введите Б. 


Если это сработало, ваша система обойдет приглашение входа в систему 
и загрузится непосредственно в оболочку суперпользователя, где можно 
выполнять административные задачи, не вводя каждый раз пароль. 


Чтобы просмотреть сообщения, созданные в кольцевом буфере ядра (который 
показывает активность ядра при загрузке), из оболочки после завершения за- 
грузки системы введите следующее: 


# Чдтезё | 1е55 


Или в системе, использующей службу зузета, введите: 
# јоигпа1с+1 -К 
Чтобы запустить пробную версию уит ирӣа+е из систем Еейога или ВНЕГ. и ис- 


ключить любой доступный пакет ядра, введите следующее (при появлении 
запроса введите №, чтобы не выполнять обновление, если они доступны): 


# уит ирӣа+е - -ехс1иде= 'Кегпе1*' 

Чтобы проверить, какие процессы прослушивают входящие соединения в вашей 
системе, введите следующую команду: 

# пеЁѕ+аё -+ир1п | 1е$$ 

Чтобы проверить, какие порты открыты в вашем внешнем сетевом интерфейсе, 


если это возможно, запустите команду птар из другой системы Глпих в своей 
сети, заменив уоигћоѕіё именем хоста или ІР-адресом вашей системы: 


# птар уоигћоѕЕ 
Чтобы очистить системный кэш страниц и посмотреть, как он влияет на ис- 
пользование памяти, выполните следующие действия: 


а) откройте окно Тегтіпа! (Терминал) из приложений на рабочем столе (в раз- 
ных системах оно находится в разных меню); 


б) выполните команду Фор, чтобы просмотреть процессы, запущенные в данный 
момент в вашей системе, а затем введите прописную букву М, чтобы отсорти- 
ровать процессы по потреблению памяти; 


в) в окне Тетіпа! (Терминал) откройте меню и выберите создание второго окна; 


г) во втором окне Тегтіпа! (Терминал) войдите в оболочку от имени суперполь- 
зователя (зи -); 


д) наблюдая за строкой Мет (используемый ранее столбец) в первом окне 
Тегиипа! (Терминал), введите из второго окна следующее: 


# есһо 3 > /ргос/ѕуѕ/мт/агор_сасһеѕ 


е) в строке Мет используемая память КЕЅ должна значительно уменьшиться. 
Цифры в столбце ВЕ$ для каждого процесса также должны уменьшаться. 
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10. Чтобы просмотреть задействование памяти и подкачки из веб-интерфейса 


Соскрі, откройте в браузере СосКри (ћіёрѕ://һоѕіпате:9090). Выберите 5уѕ- 
{ет > Метогу & Ѕмар (Система » Память и обмен). 


Глава 22. Базовые методы 
обеспечения безопасности 


1. 


Чтобы проверить сообщения из журнала ѕуѕ+ета для служб М№емоѓКМапавег. ѕег- 
уісе, ѕ5һа. ѕегуісе и аца1{а . ѕегуісе, введите следующее: 


# јоигпа1с+1 -и МефмогКМапарег . ѕегмісе 
# јоигпа1с+1 -и $$На.зегу1се 


# јоигпа1с+1 -и аџӣі+а. зегу1се 


Пароли пользователей хранятся в файле /еёс/ѕһадом. Чтобы увидеть его права, 
введите команду 1$-1 /еёс/ ѕһайом в командной строке. (Если файла не суще- 
ствует, необходимо запустить команду рисопу.) 


Далее приведены соответствующие настройки: 


# 15 -1 /еіс/ѕһадом 
---------- . 1 гоо гоо 1049 Ееб 10 09:45 /еЁс/ѕһайои 


Чтобы определить срок действия пароля вашей учетной записи с помощью 
одной команды, введите сһаре -1 иѕег пате, например: 


# сһаре -1 сһгіѕ 


Чтобы начать аудит событий в файле /еёс/ѕһайом с помощью демона аџаі+а, 
введите в командной строке следующее: 


# аџаіїсі1 -м /ес/ѕһайом -р м 


Чтобы проверить настройки аудита, введите аиаіїс&1 -1 в командной строке. 
Чтобы создать отчет из демона аџаі+а в файле /еіс/ѕһаЯом, введите аиѕеагсћһ -+ 
/еёс/ѕһайом в командной строке. Чтобы отключить аудит этого файла, введи- 
Те ачат*сЕ1 -М /ефс/5Надом -р м. 


Чтобы установить пакет 1етоп, повредите файл /иѕг/біп/1етоп и удалите пакет 
Іетоп, введя следующую команду: 


# уит 11$%а11 -у 1етоп 

# ср /ефс/зегу1се$ /иѕг/біп/Іетоп 
# грт -М 1етоп 

РУ Е /иѕг/біп/Іетоп 

# уит егаѕе 1етоп 


10. 
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Файл 1етоп отличается от оригинала по размеру файла (5), по ті4ѕип (5) и вре- 
мени его модификации (Т). В системе ОЪБипи установите пакет с ар*-ве* 
іпѕа11 Іетоп и введите команду дерѕитѕ Іетоп, чтобы проверить его. 


Если вы подозреваете, что ваша система атакована и были изменены важные 
двоичные файлы, их можно найти, введя в командной строке +1п4а а1гес®огу- 
пёіте -1 для каталогов /біп, /ѕбіп, /иѕг/біп и /иѕг/ѕбіп. 

Чтобы установить и запустить сһкгооїкі+ и увидеть, был ли установлен руткит 
после вредоносной атаки, выберите свой дистрибутив и выполните следующие 
действия: 


а) на Еедога или КНЕТ. введите команду уот іпѕёа11 сһкгоо&кі+; 


б) на ОБипа и в дистрибутивах на базе Оеап введите команду ѕиао ар -веї 
п5{а11 сһКгооЁКі+; 

в) чтобы запустить проверку, введите сһкгооёкіє в командной строке и про- 
смотрите результаты. 

Чтобы найти файлы в любой точке системы с установленным правом ОТО или 

5СІр, введите команду #Ғіпа / -регт /6000 -15. 


Чтобы установить пакет аіае, выполните команду а14е для инициализации базы 
данных аіде, скопируйте базу данных в нужное место и выполните команду аїае 
для проверки того, изменены ли какие-либо важные файлы в вашей системе: 


# ушт 11$%а11 аійе 


# аійе -1 
# ср /\аг/116/а1ае/а14е. 6 .пем.57 /\аг/116/а14е/а1ае. 46.527 
# аійе -С 


Чтобы сделать вывод более интересным, можете установить пакет Іетоп (описан 
в упражнении 6) и изменить его перед запуском команды аійе -С, чтобы увидеть, 
как выглядит модифицированный двоичный файл. 


Глава 23. Продвинутые методы 
обеспечения безопасности 


Для выполнения первых нескольких упражнений у вас должен быть установлен 
пакет впире2. Он не установлен по умолчанию в дистрибутиве ОБипи, но имеется 
в последних версиях дистрибутивов Еейога и КНЕГ. 


1. 


Чтобы зашифровать файл с помощью утилиты #рЕ2 и симметричного шифра, 
введите следующую команду (утилита вр2 запрашивает ключевую фразу для 
защиты симметричного шифра): 


$ ррв2 -с Ғі1епате 
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2. Чтобы сгенерировать пару ключей с помощью утилиты 8р52, введите следу- 
ющее: 
$ врв2 --веп-кеу 
Необходимо добавить: 
а) настоящее имя и адрес электронной почты; 
б) ключевую фразу для личного пароля. 
3. Чтобы перечислить сгенерированные ключи, введите: 
$ ррв2 --115+1-кеуѕ 
4. Чтобы зашифровать файл и добавить свою цифровую подпись с помощью ути- 
литы 8ре2, выполните следующие действия: 
а) сгенерируйте связку ключей (см. упражнение 2); 
б) после этого введите: 
$ #рё2 --оифриЕ Епсгуртеаѕідпеағііе --ѕівп Ет[ефоЕпсгур51дп 
5. Настранице реёғейога.оге выберите один из дистрибутивов Еейога для загруз- 
ки. Когда она будет завершена, выберите Мегіѓу уоиг ромпіоаа (Проверить загру- 


женный образ), чтобы просмотреть инструкции по проверке образа. Например, 
загрузите файл СНЕСКЅ0М для загруженного образа, а затем введите следующее: 


$ сиг1 һ+рѕ://веҒейога.огв/ѕ%аііс/Ғейога.вре | ере - -ітрогі 
$ врв --мег1Фу-Е11е$ *-СНЕСК$ИМ 
$ ѕһа256ѕит -с *- СНЕСКЅ0М 


6. Чтобы определить, подключена ли команда ѕи в вашей системе Глпих к РАМ, 
введите следующее: 


$ 1аа $(мһісһ зи) | егер рат 
1іррат.ѕ0.0 => /11664/116рат.50.0 (0х00007#са14370000) 
іррат міѕс.50.0 => /11664/11Брат_т1$с.50.0 (0х00007Ғса1416сөөө 


Если команда зи в системе Глпих поддерживает РАМ, то после выполнения 
команды 1аа вы увидите в списке имя библиотеки РАМ. 

7. Чтобы определить, есть ли у команды файл конфигурации РАМ, введите сле- 
дующее: 


$ 15 /еїс/рат.а/5и 
/еёс/рам.ӣ/ѕи 


Если файл существует, то, чтобы отобразить его содержимое, введите в команд- 
ной строке следующее (контексты модулей РАМ, которые модули используют, 
включают любое из следующих значений — аи", ассоипё, раззмог4 или ѕеѕѕіоп): 


$ саї /ес/рат.а/ѕи 


8. Чтобы перечислить различные модули РАМ в системе Еейога или ВНЕТ, вве- 
дите следующее: 


$ 15 /иѕг/11064/ѕесигі+у/рат*.ѕ0 


10. 
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Чтобы перечислить различные модули РАМ в системе ОЪипќи, введите: 
# Ғіпа / -пате рам*. 50 
Чтобы найти в своей системе файл конфигурации РАМ о+ћег, введите 1$ /ес/ 


рат. а/оёһћег в командной строке. Файл конфигурации оёћег применяет запрет 
Ітр1ісії репу и должен выглядеть примерно так: 


$ саї /еїс/рат.а/оЁһег 


#%РАМ-1.0 

аи+ћ геди1геа рат депу. $0 
ассоипїі гедиігеа рат депу. $0 
раѕѕмога геди1геа рат депу. $0 
ѕеѕѕіоп гедиігеа рат _ епу. ѕо 


Чтобы найти файл конфигурации ограничений РАМ, введите следующее: 

$ 15 /еїс/ѕесигі+у/1ітіїѕ.сопҒ 

Чтобы вывести содержимое файла на экран, введите: 

$ саї /еїс/ѕесигі+у/1іті+ѕ.соп# 

В этом файле настройки для предотвращения работы вредоносной программы 
(Ғогк-бомбы) выглядят следующим образом: 


@ѕ+иаеп Вага пргос 50 
@$ЕидепЕ - мах1021п$ 4 


Глава 24. Повышенная безопасность 
с технологией ЅЕШпих 


1. 


Чтобы перевести систему в разрешительный режим для ЗЕГлпих, введите зефеп- 
Ғогсе регтіѕѕіме в командной строке. Также можно ввести команду ѕеёеп#огсе 0. 


Соблюдайте осторожность при переводе системы $Е1іпих в принудительный 
режим без изменения основного файла конфигурации ЗЕГ тах. Лучше всего 
не запускать эту команду в системе для выполнения упражнения, пока не на- 
чнете использовать ЗЕТлпих. Введите команду ѕеёепҒогсе епФогс1пв в команд- 
ной строке. Можно также ввести команду зефепфогсе 1. 


Чтобы найти и просмотреть постоянную политику ЗЕГлпих (задается во время 
загрузки), перейдите в основной файл конфигурации 5 Е1пих — /еёс/ ѕе1іпих/ 
сопғів. Чтобы просмотреть его, введите саё/еёс/ ѕе1іпих | соп1в / вгер ЅЕШІМОХ= 
в командной строке. Чтобы узнать, как он установлен в данный момент, введите 
команду ветеп+Ғогсе. 


Чтобы перечислить контекст безопасности файла /еёс/һоѕїѕ и определить 
различные атрибуты контекста безопасности, введите 15 -2 /еёс/һоѕёѕ в ко- 
мандной строке: 


$ 15 -2 /еїс/һоѕіѕ 
-Гги-г--Г--. гооЁ гоо ѕуѕёет и:објесё г:пеё сопҒ 6:50 /еёс/һоѕ15 
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а) пользовательский контекст файла — это ѕуѕ+ет и, он указывает на систем- 
ный файл; 

б) роль файла — это објесі г, указывающая на объект в файловой системе 
(в данном случае текстовый файл); 


в) тип файла — это пеЁ_сопЕ +, поскольку он является файлом конфигурации сети; 


г) уровень чувствительности файла равен $6, что указывает на самый низкий 
уровень безопасности (это может быть номер от $0 до $3); 


д) уровень категории файла начинается с с и заканчивается числом. Он может 
относиться к диапазону чисел с@-с102. Это действие требуется только в вы- 
сокозащищенных средах и в данном случае не используется. 


5. Чтобы создать файл +еѕ+.һёт1 и назначить ему тип НЕра_зуз_сопфеп*_*, вве- 
дите следующее: 


$ +оисһ еѕ+.ҺЕт1 

$ сһсоп -Е ҺЕЕра 5уѕ сопёепі + +еѕ+.ҺЕт1 

$ 15 -2 +еѕі.ҺЕт1 

-ги-ги-г--. сйг1$ сһгіѕ ипсопҒіпеа и:објес г:һёёра ѕуѕ сопёепё :50 Жеѕі.һЕт1 


6. Чтобы перечислить контекст безопасности процесса сгопа и определить его 
атрибуты, введите в командной строке: 
$ р$ -е#2 | вгер сгопа 


5узфет_и: уз{ет_г:сгопа_{:$9-$0:с0.с1023 гоо 665 1 Өө 
5ер18 х 00:00:00 /иѕг/ѕбріп/сгопа -п 


а) пользовательский контекст процесса — это ѕуѕёет и, указывающий на си- 
стемный процесс; 


б) роль процесса — ѕуѕет_ г, что указывает на системную роль; 
в) тип или домен процесса — это сгопа_*; 


г) уровень чувствительности процесса начинается с 50-56, это указывает на то, 
что процесс нечувствителен (однако он безопасен по обычным стандартам 
Тлпих, поскольку запускается от имени суперпользователя ); 


д) уровень категории процесса — это с@.с1023, где сё указывает на то, что ка- 
тегория также не очень безопасна с точки зрения системы ЅЕ11пих. 


7. Чтобы создать файл /еёс/+еѕі.іхі, измените его контекст на изег_&тр_*, вос- 
становите правильное содержимое (контекст по умолчанию для каталога /еїс) 
и удалите файл: 


# Тоисһ /еЁс/еѕ+. хі 

$ 15 -2 /еіс/+еѕї.1хі 

-ги-г--Г--. гооЁ гоо ипсопҒіпеа и:објесі г:еёс +:59 /еіс/%еѕі.іхі 

# сһсоп -Е иѕег тр + /ес/еѕ+.хі 

$ 15 -2 /еіс/+еѕї.1хі 

-ги-г--Г--. гооЁ гоо ипсопҒіпеа и: објесі г:иѕег тр +:50 /ес/беѕі.хі 
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# гезфогесоп /еЕс/+еѕ+.хЕ 

# 15 -2 /ефс/фе$*. хе 

-ги-г--Г--. гооЁ гоо ипсопҒіпеа и:објесі г:еёс +:59 /еіс/+еѕі.іхі 
$ гт /еёс/еѕ+.ЕхЕ 

гт: гетоме гери1аг етрфу +11е ` /еёс/+еѕї.іхї'? у 


8. Чтобы определить, какие логические типы разрешают анонимную запись и до- 
ступ к домашнему каталогу службы р, а затем включить эти логические типы 
навсегда, введите следующие команды: 


# реїѕероо1 -а | вгер +ҒЕр 
ЕҒЕр Һоме діг --> о 
ЕҒЕра апоп мгіе --> о 


# ѕеіѕероо1 -Р +ҒЕр һоте аіг=оп 

# ѕеѕероо1 -Р +ҒЕр апоп мгі+е=оп 

# реїѕероо1 ТҒір һоте іг +ҒЕр апоп_мгіёе 
ЕҒЕр Һоме іг --> оп 

ЕҒЕр апоп мгіёе --> оп 


9. Чтобы перечислить все модули политики $Е1іпих в своей системе вместе с их 
номерами версий, введите команду зетоди1е -1. 


ПРИМЕЧАНИЕ 


Команда [$ /еїс/ѕе[іпих/Ќагдеѓед/тоаџеѕ/асііме/тоашіеѕ/*.рр подходит в качестве ответа, однако она не дает вам 
номера версий модулей политики. Только команда ѕетойше -| выводит номера версий. 


10. Чтобы разрешить доступ к службе ѕѕһћа через ТСР-порт 54 903 в Е пих, вве- 
дите следующее: 


# ѕетапабе рогі -а -* 55һ рогЕ + -р {ср 54903 
# зетапаре роге -1 | ргер ѕ5һ 
55һ рогі + ср 54903, 22 


Глава 25. Защита Шпих в сети 


1. Чтобы установить утилиту Мебуотк Маррег (она же птар) в локальную систему 
Тлпих, выполните следующие действия: 


а) в системе Еедога или ВНЕГ, введите команду уим іпѕёа11 птар в командной 
строке; 

б) в системе ОБипеи пакет птар может быть предустановлен заранее. Если его 
нет, введите команду зидо арё-реё іпѕёа11 птар в командной строке. 


2. Чтобы запустить сканирование ТСР Соппес на локальном адресе интернет-про- 
токола |оорБаск, введите в командной строке птар-$Т 27.0.0. Порты, которые 


914 Приложения 


вы используете на своем сервере Глпих, будут иными. Они могут выглядеть 
примерно так: 


# птар -$Т 127.0.0.1 


РОКТ ЅТАТЕ ЅЕКМІСЕ 
25/+ср ореп ѕмёр 
631/&ср ореп ірр 


3. Чтобы запустить сканирование ООР Соппесї в своей системе Глпиах из удален- 
ной системы, выполните следующие действия: 


а) определите ТР-адрес Глпих-сервера, введя команду і#сопҒіваї. Выходные 
данные будут выглядеть как в примере далее, и ІР-адрес системы следует за 
іпе+ аааг: в выходных данных команды і+#соп+іе: 


# іҒсоп+ір 


р2р1 ііпк епсар:Е+һегпеё НМадаг 08:00:27:Е5:89: 5А 
іпе адаг: 20. 140.67. 23 


б) из удаленной системы Гіпих введите команду птар- $0 ІР адаге$, используя 
полученный ранее ІР-адрес, например: 
# птар -50 10.140.67.23 

4. Чтобы проверить, работает ли в вашей системе служба Ғігема114, а затем уста- 

новить и запустить ее, выполните следующие действия: 

а) введите команду ѕуѕёетс+1 зфафиз Ғігема114. зег\у1 се; 

б) если служба #1гема114 не запущена в системе Еейога или ВНЕТ, введите 
следующее: 


# уит 1п1$%а11 Е1гема114 +1гема11-соп1в -у 
# зузфетсЕ1 $зФагф Ғігема11а 
# зузфетсЕ1 епаб1е +1гема114 


5. Чтобы открыть порты в брандмауэре и разрешить удаленный доступ к локаль- 
ной веб-службе, выполните следующие действия: 


а) откройте окно Ргема! (Межсетевой экран) с помощью команды +1гема114- 
соп+Ғіе; 


б) выберите настройку Випёте (Рабочая среда); 

в) выберите текущую зону (например, Еейогаў огкѕќайоп); 

г) в разделе Ѕегуісеѕ (Службы) выберите варианты һер и һр; 
д) выберите настройку Регтапепї (Постоянная); 

е) в разделе Ѕегуісеѕ (Службы) выберите варианты һер и һр. 


6. Чтобы определить текущие политики и правила брандмауэра пеё#і1+ег/ 
1реаб1ез в своей системе Глпих, введите ірёаб1еѕ -упі в командной строке. 


7. 


10. 
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Чтобы сохранить, очистить и восстановить текущие правила брандмауэра си- 
стемы Глпих, выполните следующее: 


а) чтобы сохранить текущие правила, введите: 


# 1рфаб1е$-зауе > /+тр/туірёаБ1еѕ 


б) чтобы очистить текущие правила, введите: 


# 1рфаб1е$ -Е 


в) чтобы восстановить текущие правила, введите: 

# іріаБ1еѕ-геѕїоге < /+тр/туір+аБ1еѕ 
Чтобы настроить таблицу фильтров брандмауэра системы Гіпих для цепочки 
ввода на политику ОВОР, введите ірёаб1еѕ -Р ТМРОТ ОВОР в командной строке. 


Чтобы изменить политику таблицы фильтров брандмауэра системы Глпах об- 
ратно на ассер* для цепочки ввода, введите следующее: 


# 1рфаб1ез -Р ІМРОТ АССЕРТ 


Чтобы добавить правило ОВОР для всех сетевых пакетов с ІР-адреса 10.140.67.23, 
введите следующее: 


# 1рфаб1е$ -А ТМРИТ -5 10.140.67.23 -ј ОКОР 


Чтобы удалить только что добавленное правило, не сбрасывая и не восста- 
навливая правила брандмауэра системы Глпих, введите 1реаб1ез -0 ТМРИТ 1 
в командной строке. Предполагается, что правило, которое вы добавили ранее, 
является правилом 1. Если это не так, измените значение на соответствующий 
номер правила в команде ірёаб1еѕ. 


Глава 26. Работа с облаками и контейнерами 


1. 


Чтобы установить и запустить контейнер, используйте либо команду роатап 
(для любой системы ВНЕГ. или Еейога), либо команду аоскег (ВНЕТ. 7): 


# уит іпѕ+а11 ройтап -у 
ИЛИ 


# ушт іпѕ+а11 аоскег -у 
# ѕуѕіетс1 зФагф Яоскег 
# ѕуѕіетс+1 епаб1е Яоскег 


Используйте команду либо роатап, либо дӣоскег, чтобы вытащить образ вашего 
хоста гевіѕігу.ассеѕѕ.гедһаї. сот/иб1 7 /и61: 


# родтап ри11 геріѕігу.ассеѕѕ.гейһа+. сот/иб17/иб1 
ИЛИ 


# доскег ри11 геріѕігу.ассеѕѕ.гейһа+. сот/иБі7 /иБі 
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3. Чтобы запустить образ ибі7/ибі, откройте оболочку Баз: 


# ротап гип -14 и617/иб1 Баѕһ 


или 


# аоскег гип -1% иб17/чб1 Бай 


4. Чтобы выполнить команды для просмотра операционной системы, на которой 
основан контейнер, установите пакет ргос-рѕ и выполните команду для про- 
смотра процессов, запущенных внутри контейнера: 


Базп-4.4# саф /еЁс/05-ге1еаѕе | ёгер ^МАМЕ 
МАМЕ="Кеа На Епфегрг1$е і іпих" 
раѕһћ-4.4# уит 1п$%а11 ргосрѕ -у 

раѕћ-4.4# рѕ -е+ 


ито РТО РРІЮ С 5ТІМЕ ТТУ ТІМЕ СМО 
гоо 1 0 0 03:37 ріѕ/0 00:00:00 Баѕһ 
гоо 20 1 0 03:43 рі5/0 00:00:00 рѕ -еғ 


раѕһћ-4.4# ех1+ 


5. Чтобы перезапустить контейнер, который вы только что закрыли с помощью 
интерактивной оболочки, и подключиться к нему, введите следующее: 


# родтап рѕ -а 


СОМТАТМЕВ ТР ІМАСЕ СОММАМО САЕАТЕР 
ЅТАТОЅ РОКТЅ МАМЕЅ 
еаб+1+657а3За ...ирі8/ирі:1а+еѕі Баѕћһ 7 тіпиеѕ аро Ехі+еа (0) 4 


ѕесопаѕ аво 

сотраѕѕіопа+е һамкіпе 
# рофтап $+агф -а еаБ+1+#657аЗа 
баѕһ-4.4# ехії 


6. Чтобы создать простой файл роскег+і1е из базового образа ирі7/ибі, включите 
скрипт смогК$ . ѕћ, который повторяет фразу Тһе Сопёаіпег МогК$!, и добавьте его 
к образу: 


а) создайте и измените новый каталог: 


# ткаіг ргојес+ 
# са ргојесі 


б) создайте файл роскег+і1е со следующим содержимым: 


ЕВОМ ге215+гу.ассе$$ .гедНа*. сот/ибі7 /ирі-тіпіта1 
СОРҮ „/смогК$.5Н /ч$г/1оса1/61п/ 
смо ["/иѕг/1оса1/біп/смогкѕ.5ћ" ] 


в) создайте файл смогК$ . зН со следующим содержимым: 


#1/6іп/баѕћ 

ѕе -о еггехії 

5еф -о поипѕеЁ 

её -о ріреғҒаі1 

есһо "Тһе Сопфа1пег Могкѕ!" 
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Используйте команду доскег или родтап, чтобы построить образ сопфа1пегмогК$ 
из только что созданного файла роскег+і1е: 


# роатап Би11а -Е тургојес+ . 
ИЛИ 


# доскег Би11а -Е тургојес+ . 


Получить доступ к реестру контейнеров можно, либо установив пакет аоскег 
для дистрибутива: 
# уит іпѕ+а11 аӢоскег-аіѕёгіри+іоп -у 


# зузфетсЕ1 ѕ+агі доскег-аіѕігіриіоп 
# зузфетсЕ1 епаБ1е ЯӢоскег-аіѕёгіри+іоп 


либо получив учетную запись в реестре Опау.ТО (аиау.іо/ріапѕ/) или хабе ОосКег 
(ПоскКег Ни): 


# родтап 1оріп ацау.1о 
Оѕегпате: ‹изегпате> 
Раѕѕмога: ********* 


Чтобы пометить новое изображение и поместить его в выбранный реестр кон- 
тейнеров, выполните следующие команды: 


# родтап +ар аад274872#23 \ 
чау.1о/‹изег>/<1тавепате> :м1.0 
# роатап риѕћ \ 

чау .1о/‹изег>/<1тарепате>:\1.0 


Глава 27. Облачные вычисления 
в системе Шпих 


1. 


Чтобы проверить, поддерживает ли ваш компьютер виртуализацию КУМ, вве- 
дите следующую команду: 

# саф /ргос/сриіпҒо | вгер --со1ог -Е "мтх | ут | 1" 

#1арѕ : фри уте е рѕе +$с тзг рае тсе сх8 ар1с ѕер мёгг рре тса стом ра 
рѕезб с1+1иѕһ 445$ асрі ттх #хѕг ѕѕе 55е2 55 И {т рбе ѕуѕса11 пх раре1вЬ 


гаёѕср 1м сопѕбапё +ѕс арсһ рег+топ ребз бёѕ гер рооа хіоро1ору попѕёор ѕс 
арег+трег+ рпі рс1ти1ааа Я+еѕ64 топіёог 45 ср1 мтх ѕтх еѕ... 


Процессор должен поддерживать УМХ или ЗУМ. іт указывает на то, что это 
64-разрядный компьютер. 


Чтобы установить систему Глпих вместе с пакетами, необходимыми для ис- 
пользования ее в качестве хоста КУМ, и запустить приложение Упиа! Мас те 
Мапабег, выполните следующие действия: 


а) загрузите «живой» или установочный образ с сайта Глпах (например, 
деќеаога.огд) и запишите его на ДУШ (или иным образом установите его); 
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б) загрузите установочный образ и установите его на жесткий диск; 


в) для рабочего стола Ее4ога \/отк%айоп после завершения установки и пере- 
загрузки установите следующий пакет (для других дистрибутивов Глпиах 
может потребоваться установить пакет, который предоставляет службу 
ібуіг+а): 

# уит іпѕъа11 мігі-тапарег 1іруігі-даетоп-сопҒів-пеёмогКк 


3. Чтобы убедиться, что службы ѕѕћа и 1іђруіг+а запущены в системе, введите 
следующее: 
# зузфетсЕ1 ѕ+агі 55һа. ѕегуісе 
# зузфетсЕ1 епаб1е ѕ5һа.ѕегуісе 


# зузфетсЕ1 ѕ+агі 11Буігіа. ѕегмісе 
# зузфетсЕ1 епаб1е 1іруіг+а. ѕегмісе 


4. Загрузите установочный [$О-образ Глпих, совместимый с вашим гипервизором, 
и скопируйте его в каталог по умолчанию, используемый программой УігќџаЇ 
МасЬше Мапарег. Например, если ОУ с Еедога \/огкзайоп находится в те- 
кущем каталоге, можете ввести следующее: 


# ср Ғедога-Могкѕ+аіоп-іме-х86 64-30-1.2.15ѕ0о /\аг/116/116\1г/1таве$/ 
5. Чтобы проверить настройки сетевого моста по умолчанию (\1гг@), введите 
следующее: 


# ір ааг ѕһом мігЬге 
4: уігргё: <М№О-САККІЕК, ВКОАРсСАЅТ ,МОЕТІСАЅТ, ОР» шеи 1500 даіѕс 
подчеие ѕёа+е ОР вгоир Яе+Ғаи1+ 
1іпк/еёһћег 4е:21:23:0е:26:с1 Бга ЕЕ: ЕЕ: ЕЕ: ЕЕ: ҒҒ: ҒҒ 
1пе{ 192.168.122.1/24 бга 192.168.122.255 ѕсоре р1оба1 \1гЬг@ 
\а11а_1+Е Фогеуег ргефеггед_1++ Фогеуегб. 


6. Чтобы установить виртуальную машину с помощью 1850-образа, скопирован- 
ного ранее, выполните следующие действия: 
а) введите команду: 
# у1гЕ-тапарег & 
б) перейдите в меню Ее (Файл) и выберите Мем Миа! Масћіпе (Новая виртуаль- 
ная машина); 
в) выберите Госа! Іпѕїа!! Медиа (Жесткий диск) и нажмите Ромага (Далее); 


г) выберите Вгомѕе (Загрузить), выберите «живой» или установочный образ, 
нажмите Сһооѕе Моіите (Выбрать том) и нажмите кнопку Еогмага (Далее); 


д) выберите подходящие память и процессоры и нажмите кнопку Рогп\мага 
(Далее); 
е) выберите нужный размер диска и нажмите кнопку Ромага (Далее); 


ж) выберите Миа! пебмогк деѓаи: МАТ (Виртуальная сеть по умолчанию: МАТ), 
возможно, она уже выбрана; 


10. 
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з) по окончании нажмите кнопку Ніпіѕћ (Завершить); 
и) далее следуйте процессу установки, указанному в инсталляторе [ЗО-образа. 


Чтобы убедиться, что вы можете войти в виртуальную машину и использовать 
ее, выполните следующие действия: 


а) дважды щелкните на строке новой виртуальной машины; 
б) когда появится соответствующее окно, войдите в систему как обычно. 


Чтобы убедиться, что виртуальная машина может подключаться к Интернету 
или другой сети за пределами гипервизора, выполните одно из следующих 
действий: 


а) откройте браузер и подключитесь к сайту в Интернете; 


б) откройте окно Тегтіпа! (Терминал), введите команду ріпа гедпах . сот, а затем 
нажмите сочетание клавиш Сії+С, чтобы выйти. 


Чтобы остановить виртуальную машину, выполните следующее: 

а) щелкните правой кнопкой мыши на строке виртуальной машины в окне 
уігё-тападег; 

б) выберите вариант Ѕһиї Ромт (Отключить) и выберите этот вариант снова; 


в) если виртуальная машина не отключилась сразу же, вы можете выбрать 
вариант Рогсе ОЁ (Принудительно отключить), но результат будет таким же, 
как если выдернуть вилку из розетки, — потеря всех данных. 


Запустите виртуальную машину снова: 


а) щелкните правой кнопкой мыши на строке виртуальной машины в окне 
уіг-тападег; 
б) нажмите кнопку Вип (Запустить). 


Глава 28. Развертывание приложений Шпих 
в облаке 


14 


Чтобы установить пакеты вепіѕоітаве, с1оиа-іпі+, дети-іте, и уігё-уїемег, 
введите: 


# апҒ іпѕ+а11 репіѕоітаре с1оиӣ-іпії дети-іте уіг-міемег 


Чтобы загрузить облачный образ Ее4ога, перейдите по ссылке деіейога.огд/еп/ 
сіоид/аомпіоаа/ и загрузите образ асом2. В списке Ореп5асК есть подходящий 
с именем Ғедога-С1оџа-Ваѕе-31-1.9.х86 64. дсом2. 
Чтобы создать снимок этого образа в формате асом? с именем туут. дсом2, вве- 
дите следующее: 

# дети-ітр сгеафе -+ дсом2 \ 


-о баскіпр_Ғі1е=Ғеаога-С1оиа-Ваѕе-31-1.9.х86 64.д4сом2 \ 
туут. дсом2 
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4. Создайте файл метаданных с1ои4-1п1* под названием те+а-да+а, который вклю- 
чает в себя следующее: 


1п$фапсе-14: туут 
]оса1-По${пате: туут.ехатр1е. сот 


5. Создайте файл данных пользователя с1оџа-іпі+ под названием изег-дажа, ко- 
торый включает в себя следующее: 
#с1оиа-сопЕ15 


раѕѕмога: +е$+ 
сһраѕѕма: {ехріге: Ға1ѕе} 


6. Выполните команду вепіѕоітаре, чтобы объединить файлы те+а-да+а и иѕег- 
Дафа и создать файл тудата.150: 


# репіѕоітаре -оиїриї тудафа.1$0 -\0114 сіаа+а \ 
-јоїіеї-1опе -госк иѕег-ӣаїа теа-аа+а 


7. Используйте команду уігі-іпѕ+а11, чтобы объединить образ виртуальной ма- 
шины туут. дсом2 с файлом тудаќа.іѕо для создания нового образа виртуальной 
машины с именем пемупт. 


# мігі-іпѕъа11 --ітрог --пате пеммт \ 
--гат 4096 --усри$ 2 \ 
--415$К ра+һ=тумт.дсом2 , Ғогта=дсом2 ,биѕ=мігііо \ 
--915$К раһ=туда+а.іѕо, 4еу1се=сагот \ 
--пемогк пеёмогк=ӣеҒаи1+ & 


8. Чтобы открыть виртуальную машину пемут с помощью команды уігё -уіемег, 
введите следующее: 


# уігі-уіемег пемут 


9. Войдите в виртуальную машину пемут с помощью пользователя федога и пароля 
е1: 


Іоріп: Ғейога 
Раѕѕмога: &еѕЕ 


Глава 29. Автоматизация приложений 

и инфраструктуры с помощью 

системы Апѕібіе 

1. Чтобы установить пакет ап$161е, выполните следующие действия: 


" ВНЕ 8: 


# ѕирѕсгіріоп-тапағрег героѕ \ 
--епаб1е ап$161е-2.9-Рог-гпе1-8-х86_64-грт$ 
# ап+ іпѕъа11 апѕір1е -у 


Приложение Б. Ответы к упражнениям 921 


= Еедога: 


# апҒ іпѕъа11 апѕір1е -у 
= {Љипќёи: 


$ зи4о ар ирӣа+е 

$ ѕидо аре іпѕ+а11 зомаге-ргорег1е$ -соттоп 

$ ѕидо ар-айа-героѕі+огу --уеѕ --ирдате рра:ап$161е/ап$161е 
$ ѕидо ар іпѕ+а11 ап$161е 


Чтобы добавить привилегии зидо для пользователя, выполняющего команды 
АпѕіЫе, запустите команду \15ча0 и создайте запись, аналогичную следующей 
(измените јое на нужное имя пользователя): 


јое АШ = (АШ) МОРАЅЅМ0: АЕ 


Откройте файл ту _р1аубоок.уат1 и добавьте к нему следующее: 


- пате: Сгеаёе меб зегуег 
һоѕіѕ: Іоса1һоѕі 


+аѕКкѕ: 
- пате: Тп$фа11 Ира 
уит: 
пате: Ира 


$фафе: ргезепЕ 


Чтобы запустить файл ту _р1аубоок.уат1 в режиме проверки, выполните следу- 
ющую команду (она не будет выполнена, потому что у пользователя нет прав на 
установку пакета): 


$ ап$161е-р1аубоок -С ту_р1ТауБоок.уат1 


ТАЅК [1п5%а11 Ира] 
ЖЖЖжЖЖЖЖЖЖжЖЖЖжЖЖжЖжЖЖжЖжЖЖжЖжЖжЖжЖжЖЖжЖЖжЖжЖЖЖжЖЖжЖжЖЖжЖжЖЖжЖжЖЖжЖжЖжЖжЖжЖЖжЖЖжЖжЖЖЖжЖЖЖЖЖЖ 
фафа1: [1оса1һоѕ]: РАТЬЕО! => {"сһапвеӣ": Ға1ѕе, "тѕр": "Тһіѕ 
соттапа паз Фо бе гип ипӣег һе гоо изег.", "гези15": []} 


Внесите в файл ту р1ауђбоок.уат1 следующие изменения: 


- пате: Сгеафе меб зегуег 
һоѕіѕ: Іоса1һоѕі 
Бесоте: уеѕ 
Бесоте_тефво4: ѕийо 
Бесоте_изег: гоо 


+аѕкѕ: 
- пате: Тп$фа11 Ира 
уит: 
пате: Ира 


$фафе: ргезепЕ 
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6. Чтобы запустить файл му_р1ауБоок снова и установить пакет һ+ра, введите 
следующее: 


$ ап$161е-р1ауБоок ту р1аубоок.уат1 


ТАЅК [1пѕ+а11 һеера] ЖЖЖЖЖЖЖЖЖжЖЖЖжЖЖЖжЖЖжЖжЖЖжЖЖЖжЖжЖЖжЖжЖЖжЖЖЖжЖЖЖЖЖЖ 
сһапвеа: [1оса1һоѕ+] 


РІДҮ ВЕСАР *жжжжжжжжжжжжжжжжжжжжжжжжжжЖЖЖЖ ЖЖЖЖ ЖЖЖЖЖЖЖЖЖЖЖЖЖ 


1оса1һоѕі: ок=2 сһапрей=1 ипгеасһаб1е=0 Ғаі1еа=0 ѕкіррей=0 геѕсиеа=0 
1епогед=@ 


7. Чтобы запустить службу НЕЕра и установить ее так, чтобы она запускалась каждый 
раз при загрузке системы, измените файл ту _р1аубоок .уат1 следующим образом: 


- пате: Сгеаёе мер зегуег 
һоѕ 5: Іоса1һоѕ+ 
Бесоте: уеѕ 
ресоте те&һоа: ѕидо 
ресоте иѕег: гоо 


{а$К$: 
- пате: Іпѕ&а11 һ+ёра 
учит: 
пате: Ира 


$фафе: ргезепЕ 
- пате: $Фаге ИЕЕра 
ѕегуісе: 
пате: Ира 
$фафе: ѕ+агіеа 


8. Чтобы выполнить команду апѕіб1е так, чтобы она проверяла, находится ли 
служба НЕЕра на 1оса1по$*, введите: 


$ ап$161е 1оса1һоѕї -т ѕегуісе \ 
-а "пате=һёёра $фафе=$фагфеа" - - сһеск 
1оса1һоѕЁ | 50ССЕ55 => { 
"сһапвеа": Ға1ѕе, 
"паме": "Һера", 
"таке": "ѕ+агіеа", 
"Ѕѕ+аёиѕ": { ... 


9. Чтобы создать в текущем каталоге файл 1паех. һ&т1 с текстом мер зегуег 1$ ир, 
который запускает команду ап$161е для копирования этого файла в каталог 
/маг/ммн/һЕт1 на 1оса1по$*, выполните следующие действия (замените 3 ое 
нужным именем пользователя): 


$ есһо "Меб зегуег 1$ ир" > іпӣех.һҺЕт1 
$ ап$161е 1оса1һоѕ+ 
-т сору -а \ 
"Ѕгс=. /іпаех.һЕт1 ае$*=/маг/ммм/Ит1/ \ 
омпег=арасһе ргоир=арасһе тоде=0644" \ 
-6 --изег јое --Бесоте-изег гоо - -бресоте-теёһоа зи4о 
һоѕ&0@1 | СНАМ№ЕР => { ... 


10. 


Приложение Б. Ответы к упражнениям 923 


Чтобы использовать команду сиг1 для просмотра содержимого файла, который 
вы только что скопировали на веб-сервер, выполните следующую команду: 


$ сиг1 1оса1һћоѕі 
меб зегуег 1$ ир 


Глава 30. Развертывание приложений 
в контейнеры с помощью кластера 
Кибегпеѓеѕ 


1. 


Чтобы получить доступ к инструменту Міпікиђе, выполните один из вариантов: 


а) установите Міпікиђе, как описано на странице Кибегтеѓеѕ.іо/осѕ/&аѕК5/ ї0015/ 
іпѕіа!!-тіпікибе; 


б) получите доступ к удаленному инструменту Міпікиђе, например, через ру- 
ководство Киђегпеќеѕ.іо на странице Кибегтеѓеѕ.іо/аосѕ/&иќогіаі5/. 


Чтобы просмотреть версии инструмента Міпікиђе, клиента Киђес? и службы 
Кибегпе+еѕ, введите следующее: 


$ тіпікибе мегѕіоп 
$ Ккибес+1 уег$1оп 


Чтобы развернуть модуль под управлением образа контейнера һе110-пойе, вве- 
дите следующее: 


$ Ккирес+1 сгеафе дер1оутепе һе110-поде \ 
- -ітаре=рсг.іо/һе110-тіпікиђе-ғего-іпѕёа11/һе110-поде 


Чтобы просмотреть развертывание һе110-пойе и подробно описать его, введите 
следующее: 


$ Ккибес+1 веф дер1оутепе 
$ Ккибес+1 аеѕсгіре дер1оутепе һе110-пойе 


Чтобы просмотреть текущий набор реплик, связанный с развертыванием һе110- 
поде, введите следующее: 


$ Ккибес+1 реї гѕ 


Чтобы увеличить развертывание һе110-пойе до трех копий, введите следующую 
команду: 


$ Кибес+1 ѕса1е Яер1оутепіѕ /һе110-пойе --гер1ісаѕ=3 


Чтобы открыть развертывание һе110-поде за пределами кластера Кибегпееѕ 
с помощью Іоаава1апсег, введите: 


$ Ккибес+1 ехроѕе ӣер1оутеп+ һе110-поде \ 
--+уре=іоайВа1апсег - -рог+=8080 
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8. 


10. 


Чтобы получить ІР-адрес вашего инструмента Міпікиђе и номер порта открытой 
службы һе110-поае, введите следующее: 

$ тіпікиђе ір 

192.168.39.150 


$ Кирес+1 Яеѕсгіре ѕегуісе һе110-пойе | вгер №дерРогі 
М№МоаерРог+: <ипѕеё> 31302/ТСР 


Примените команду сиг1 для запроса службы һе110-пойе, используя ІР-адрес 
и номер порта из предыдущего пункта, например: 


$ сиг1 192.168.39.105:31302 
Не11о Мог1а! 


Чтобы удалить службу һе110-пойе и ее развертывание, а затем остановить вир- 
туальную машину Міпікиђе, введите следующие данные: 
$ кирес+1 ае1ефе ѕегуісе һе110-пойе 


$ кирес+1 де1е+е дер1оутепе һе110-пойе 
$ тіпікибе ѕ+ор 
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Адам Бертрам 
РОМ/ЕВКЅНЕШ ДЛЯ СИСАДМИНОВ 


РОМ/ЕКЅНЕШ” 
ДЛЯ СИСАДМИНОВ 


РомегЅһе|!® — это одновременно язык сценариев и командная оболочка, кото- 
рая позволяет управлять системой и автоматизировать практически любую задачу. 
В книге «РомегЅћеі для сисадминов» обладатель МісгоѕоЁ МУР Адам Бертрам ака «йе 
Ашотатог» покажет, как использовать Ро\мег5 Ве! так, чтобы у читателя наконец-то 
появилось время на игрушки, йогу и котиков. 


Вы научитесь 


Комбинировать команды, управлять потоком выполнения, обрабатывать 
ошибки, писать сценарии, запускать их удаленно и тестировать их с помощью 
фреймворка тестирования Рез{ег. 

Анализировать структурированные данные, такие как ХМІ и /5ОМ, работать 
с популярными сервисами (например, Асііме Опестогу, Ахиге и Атахоп \Меб 
Ѕегуісеѕ), создавать системы мониторинга серверов. 

Создавать и проектировать модули РомегЅћеі. 

Использовать Ро\мег5Ве! для удобной, полностью автоматизированной уста- 
новки Міпаомѕ. 

Создавать лес Асііме Оігесіогу, имея лишь узел Нурег-\ и несколько |5О-файлов. 
Создавать бесчисленные веб- и 501-серверы с помощью всего нескольких 
строк кода! 


Реальные примеры помогают преодолеть разрыв между теорией и работой в на- 
стоящей системе, а легкий авторский юмор упрощает чтение. 
Перестаньте полагаться на дорогое ПО и невнятные советы из сети! 


Джейсон Андресс 


ЗАЩИТА ДАННЫХ. 
ОТ АВТОРИЗАЦИИ ДО АУДИТА 


ЗАЩИТА 
ДАННЫХ 


Ог авторизации до аудита 


Чем авторизация отличается от аутентификации? Как сохранить конфиденциаль- 
ность и провести тестирование на проникновение? Автор отвечает на все базовые 
вопросы и на примерах реальных инцидентов рассматривает операционную безопас- 
ность, защиту ОС и мобильных устройств, а также проблемы проектирования сетей. 
Книга подойдет для новичков в области информационной безопасности, сетевых 
администраторов и всех интересующихся. Она станет отправной точкой для карьеры 
в области защиты данных. 


Наиболее актуальные темы 


. Принципы современной криптографии, включая симметричные и асимметрич- 
ные алгоритмы, хеши и сертификаты. 

. Многофакторная аутентификация и способы использования биометрических 
систем и аппаратных токенов для ее улучшения. 

. Урегулирование вопросов защиты компьютерных систем и данных. 

. Средства защиты от вредоносных программ, брандмауэры и системы обнару- 
жения вторжений. 

. Переполнение буфера, состояние гонки и другие уязвимости. 


Лиз Райс 


БЕЗОПАСНОСТЬ КОНТЕЙНЕРОВ. 
ФУНДАМЕНТАЛЬНЫЙ ПОДХОД К ЗАЩИТЕ 
КОНТЕЙНЕРИЗИРОВАННЫХ ПРИЛОЖЕНИЙ 


ОРЕШУ 


Безопасность 
контейнеров 


Фундаментальный подход к защите 
контейнеризированных приложений 


> Лиз Райс 


Во многих организациях приложения работают в облачных средах, обеспечивая 
масштабируемость и отказоустойчивость с помощью контейнеров и средств коор- 
динации. Но достаточно ли защищена развернутая система? В этой книге, предна- 
значенной для специалистов-практиков, изучаются ключевые технологии, с помощью 
которых разработчики и специалисты по защите данных могут оценить риски для 
безопасности и выбрать подходящие решения. 

Лиз Райс исследует вопросы построения контейнерных систем в Шпих. Узнайте, 
что происходит при развертывании контейнеров, и научитесь оценивать возможные 
риски для безопасности развертываемой системы. Приступайте, если используете 
Кибегпе(е$ или ОоскКег и знаете базовые команды Шпих. 


